С сентября 2021 года несколько хакерских групп воспользовались утечкой исходного кода вымогательского ПО Babuk для создания девяти различных семейств вредоносных программ, способных атаковать системы VMware ESXi.
Специалисты ИБ-компании SentinelOne заявили , что новые варианты появились во второй половине 2022 года и первой половине 2023 года, что свидетельствует об увеличении числа хакеров, использующих исходный код Babuk. Утечка исходного кода позволяет злоумышленникам атаковать системы Linux, даже когда у них недостаточно опыта для создания собственной программы.
Многие киберпреступные группы нацелились на гипервизоры ESXi. Более того, по крайней мере три различных семейства вредоносов – Cylance, Rorschach (BabLock) и RTM Locker – которые появились с начала года, основаны на утекшем исходном коде Babuk. Другие семейства вымогательского ПО, которые перенесли различные функции из Babuk в свой код, включают LOCK4, DATAF, Mario , Play и Babuk 2023 (XVGV).
Исследователи отметили, что, вопреки мнениям о сходстве между ESXiArgs и Babuk, у программ нет никаких общих признаков соответствия. SentinelOne также обнаружила сходство исходного кода между вредоносным ПО Babuk и программами Conti и REvil, нацеленными на ESXi. Однако не было обнаружено соответствий между кодом Babuk и кодами программ ALPHV, Black Basta, Hive и LockBit.