Uma nova operação de ransomware chamada Buhti usa o código vazado das famílias de ransomware LockBit e Babuk para atingir os sistemas Windows e Linux, respectivamente. Embora os operadores de ameaças por trás do Buhti, agora rastreados como Blacktail, não tenham desenvolvido sua própria variante de ransomware, eles criaram um utilitário de exfiltração de dados personalizado que usam para chantagear as vítimas, tática conhecida como dupla extorsão.
O Buhti foi detectado pela primeira vez em fevereiro pela equipe da Unit 42 da Palo Alto Networks, que o identificou como um ransomware direcionado ao Linux baseado em linguagem Go.
Relatório publicado nesta quinta-feira, 25, pela equipe de caçadores de ameaças da Symantec mostra que o Buhti também tem como alvo o Windows, usando uma variante ligeiramente modificada do LockBit 3.0 com o codinome LockBit Black.
O Blacktail usa o construtor Windows LockBit 3.0 que um desenvolvedor vazou no Twitter em setembro de 2022. Ataques bem-sucedidos alteram o papel de parede dos computadores invadidos para instruir as vítimas a abrir a nota de resgate enquanto todos os arquivos criptografados recebem a extensão “.buthi”. Para ataques ao Linux, o ransomware usa uma carga útil baseada no código-fonte Babuk que um operador de ameaças postou em um fórum de hackers de língua russa em setembro de 2021.
A Symantec relata que os ataques do Buhti têm aproveitado a vulnerabilidade recentemente que as gangues LockBit e Clop também exploraram. Trata-se do CVE-2023-27350 para instalar o Cobalt Strike, Meterpreter, Sliver, AnyDesk e ConnectWise nos computadores das vítimas, usando-os para roubar credenciais e mover-se lateralmente para redes comprometidas, roubar arquivos, iniciar cargas adicionais e muito mais. Em fevereiro, a gangue explorou o CVE-2022-47986, uma falha crítica de execução remota de código que afetava o software de troca de arquivos IBM Aspera Faspex.
Veja isso
Grupo fragmentou Cobalt Strike em 154 partes para invasão
Grupo hacker FIN7 retorna com ataques do ransomware Clop
A ferramenta de exfiltração do Buhti é um ladrão baseado em linguagem Go que pode receber argumentos de linha de comando que especificam os diretórios de destino no sistema de arquivos. A ferramenta visa os seguintes tipos de arquivo para roubo: pdf, php, png, ppt, psd, rar, raw, rtf, sql, svg, swf, tar, txt, wav, wma, wmv, xls, xml, yml, zip, aiff, aspx, docx, epub, json, mpeg, pptx, xlsx e yaml.
O Blacktail e sua operação de ransomware Buhti constituem um exemplo moderno de como é fácil para aspirantes a operadores de ameaças entrar em ação usando ferramentas eficazes de malware e causar danos significativos às organizações. Com agências de notícias internacionais.