Η νέα συμμορία ransomware Buhti χρησιμοποιεί κρυπτογραφητές Windows και Linux που έχουν διαρρεύσει
Related Posts
Μια νέα λειτουργία ransomware που ονομάζεται «Buhti» χρησιμοποιεί τον κώδικα που διέρρευσε από τις οικογένειες ransomware LockBit και Babuk για να στοχεύσει συστήματα Windows και Linux, αντίστοιχα.
Ενώ οι παράγοντες απειλών πίσω από το Buhti, που τώρα παρακολουθούνται ως «Blacktail», δεν έχουν αναπτύξει το δικό τους στέλεχος ransomware, έχουν δημιουργήσει ένα προσαρμοσμένο βοηθητικό πρόγραμμα εξαγωγής δεδομένων που χρησιμοποιούν για να εκβιάζουν τα θύματα, μια τακτική γνωστή ως «διπλός εκβιασμός».
Το Buhti εντοπίστηκε για πρώτη φορά στη φύση τον Φεβρουάριο του 2023 από την Palo Alto Networks
Ενότητα 42 ομάδα
το οποίο το αναγνώρισε ως ransomware που στοχεύει στο Linux που βασίζεται στο Go.
Έκθεση που δημοσιεύτηκε σήμερα από
Η ομάδα Threat Hunter της Symantec
δείχνει ότι το Buhti στοχεύει επίσης τα Windows, χρησιμοποιώντας μια ελαφρώς τροποποιημένη παραλλαγή LockBit 3.0 με την κωδική ονομασία “LockBit Black”.
Ανακύκλωση Ransomware
Το Blacktail χρησιμοποιεί το πρόγραμμα δημιουργίας Windows LockBit 3.0 που ένας δυσαρεστημένος προγραμματιστής διέρρευσε στο Twitter τον Σεπτέμβριο του 2022.
Οι επιτυχείς επιθέσεις αλλάζουν την ταπετσαρία των υπολογιστών που έχουν παραβιαστεί για να λένε στα θύματα να ανοίξουν τη σημείωση λύτρων, ενώ όλα τα κρυπτογραφημένα αρχεία λαμβάνουν την επέκταση “.buthi”.
.jpg)
Σημείωμα λύτρων Buhti
(Μονάδα 42)
Για επιθέσεις Linux, το Blacktail χρησιμοποιεί ένα ωφέλιμο φορτίο που βασίζεται στον πηγαίο κώδικα Babuk που ένας παράγοντας απειλής δημοσίευσε σε ένα ρωσόφωνο φόρουμ hacking τον Σεπτέμβριο του 2021.
Νωρίτερα αυτό το μήνα, τα SentinelLabs και Cisco Talos επεσήμαναν περιπτώσεις νέων λειτουργιών ransomware που χρησιμοποιούν το Babuk για να επιτεθούν σε συστήματα Linux.
Ενώ η επαναχρησιμοποίηση κακόβουλου λογισμικού γενικά θεωρείται σημάδι λιγότερο εξελιγμένων παραγόντων, σε αυτήν την περίπτωση, πολλαπλές ομάδες ransomware έλκονται προς το Babuk λόγω της αποδεδειγμένης ικανότητάς του να διακυβεύει συστήματα VMware ESXi και Linux, τα οποία είναι πολύ κερδοφόρα για τους εγκληματίες του κυβερνοχώρου.
Τα χαρακτηριστικά του Blacktail
Το Blacktail δεν είναι απλώς ένα αντίγραφο που επαναχρησιμοποιεί τα εργαλεία άλλων χάκερ με ελάχιστες τροποποιήσεις. Αντίθετα, η νέα ομάδα χρησιμοποιεί το δικό της προσαρμοσμένο εργαλείο διείσδυσης και μια ξεχωριστή στρατηγική διείσδυσης δικτύου.
Η Symantec αναφέρει ότι οι επιθέσεις Buhti αξιοποιούν την ευπάθεια PaperCut NG και MF RCE που αποκαλύφθηκε πρόσφατα, την οποία έχουν επίσης εκμεταλλευτεί οι συμμορίες LockBit και Clop.
Οι επιτιθέμενοι βασίζονται σε
CVE-2023-27350
για να εγκαταστήσετε τα Cobalt Strike, Meterpreter, Sliver, AnyDesk και ConnectWise σε υπολογιστές-στόχους, χρησιμοποιώντας τα για να κλέψετε διαπιστευτήρια και να μετακινηθείτε πλευρικά σε παραβιασμένα δίκτυα, να κλέψετε αρχεία, να εκκινήσετε πρόσθετα ωφέλιμα φορτία και πολλά άλλα.
Τον Φεβρουάριο, η συμμορία εκμεταλλεύτηκε
CVE-2022-47986
ένα κρίσιμο ελάττωμα απομακρυσμένης εκτέλεσης κώδικα που επηρεάζει το προϊόν ανταλλαγής αρχείων IBM Aspera Faspex.
Το εργαλείο εξαγωγής του Buhti είναι ένα πρόγραμμα κλοπής που βασίζεται στο Go που μπορεί να λάβει ορίσματα γραμμής εντολών που καθορίζουν τους στοχευμένους καταλόγους στο σύστημα αρχείων.
Το εργαλείο στοχεύει τους ακόλουθους τύπους αρχείων για κλοπή: pdf, php, png, ppt, psd, rar, raw, rtf, sql, svg, swf, tar, txt, wav, wma, wmv, xls, xml, yml, zip, aiff, aspx, docx, epub, json, mpeg, pptx, xlsx και yaml.
Τα αρχεία αντιγράφονται σε ένα αρχείο ZIP και αργότερα εξάγονται στους διακομιστές του Blacktail.
Το Blacktail και η λειτουργία του ransomware Buhti, αποτελούν ένα σύγχρονο παράδειγμα του πόσο εύκολο είναι για τους επίδοξους παράγοντες απειλών να δράσουν χρησιμοποιώντας αποτελεσματικά εργαλεία κακόβουλου λογισμικού και να προκαλέσουν σημαντική ζημιά σε οργανισμούς.
Επιπλέον, ο πηγαίος κώδικας LockBit και Babuk που διέρρευσε μπορούν να χρησιμοποιηθούν από υπάρχουσες συμμορίες ransomware που θέλουν να κάνουν rebrand με διαφορετικό όνομα, χωρίς να αφήνουν καμία σύνδεση με προηγούμενους κρυπτογραφητές.
Η τακτική του Blacktail για γρήγορη υιοθέτηση εκμεταλλεύσεων για τρωτά σημεία που αποκαλύφθηκαν πρόσφατα τα καθιστά ισχυρή απειλή που απαιτεί αυξημένη επαγρύπνηση και προληπτικές αμυντικές στρατηγικές, όπως η έγκαιρη ενημέρωση κώδικα.
