Μια νέα επιχείρηση ransomware με την ονομασία “Buhti” χρησιμοποιεί τον κώδικα που διέρρευσε από τις οικογένειες ransomware LockBit και Babuk για να στοχεύσει συστήματα Windows και Linux, αντίστοιχα.
Αν και οι hackers πίσω από το Buhti, που τώρα εντοπίζεται ως ‘Blacktail’, δεν έχουν αναπτύξει το δικό τους στέλεχος ransomware, έχουν δημιουργήσει ένα προσαρμοσμένο βοηθητικό πρόγραμμα εξαπόλυσης δεδομένων που χρησιμοποιούν για να εκβιάζουν τα θύματα, μια τακτική γνωστή ως “διπλός εκβιασμός”.
Δείτε επίσης: Operation Magalenha: Βραζιλιάνοι hackers στοχεύουν πορτογαλικά χρηματοπιστωτικά ιδρύματα
Το Buhti εντοπίστηκε για πρώτη φορά στην “φύση” τον Φεβρουάριο του 2023 από την ομάδα Unit 42 της Palo Alto Networks, η οποία το εντόπισε ως ένα ransomware με στόχο το Linux που βασίζεται στο Go.
5 βασικές συμβουλές ασφαλείας για τους gamers
NASA: Θέλει να στείλει αστροναύτες στον Άρη έως το 2035
Γιατί αναβάλλεται η εκτόξευση του Europa Clipper;
Μια έκθεση που δημοσιεύθηκε σήμερα από την ομάδα Threat Hunter της Symantec δείχνει ότι το Buhti στοχεύει επίσης τα Windows, χρησιμοποιώντας μια ελαφρώς τροποποιημένη παραλλαγή του LockBit 3.0 με την κωδική ονομασία “LockBit Black”.
Ανακύκλωση Ransomware
Το Blacktail χρησιμοποιεί το Windows LockBit 3.0 builder που διέρρευσε από έναν δυσαρεστημένο προγραμματιστή στο Twitter τον Σεπτέμβριο του 2022.
Οι επιτυχημένες επιθέσεις αλλάζουν την ταπετσαρία των παραβιασμένων υπολογιστών για να πουν στα θύματα να ανοίξουν το σημείωμα των λύτρων, ενώ όλα τα κρυπτογραφημένα αρχεία λαμβάνουν την επέκταση “.buthi”.
Για τις επιθέσεις σε Linux, η Blacktail χρησιμοποιεί ένα payload που βασίζεται στον πηγαίο κώδικα Babuk, τον οποίο ένας hacker δημοσίευσε σε ένα ρωσόφωνο φόρουμ hacking τον Σεπτέμβριο του 2021.
Νωρίτερα αυτό το μήνα, η SentinelLabs και η Cisco Talos ανέδειξαν περιπτώσεις νέων επιχειρήσεων ransomware που χρησιμοποιούν το Babuk για επιθέσεις σε συστήματα Linux.
Ενώ η επαναχρησιμοποίηση κακόβουλου λογισμικού θεωρείται γενικά σημάδι λιγότερο εξελιγμένων παραγόντων, σε αυτή την περίπτωση, πολλαπλές ομάδες ransomware έλκονται από το Babuk λόγω της αποδεδειγμένης ικανότητάς του να θέτει σε κίνδυνο συστήματα VMware ESXi και Linux, τα οποία είναι πολύ κερδοφόρα για τους εγκληματίες του κυβερνοχώρου.
Η Blacktail δεν είναι απλώς ένας αντιγραφέας που επαναχρησιμοποιεί τα εργαλεία άλλων χάκερ με ελάχιστες τροποποιήσεις. Αντίθετα, η νέα ομάδα χρησιμοποιεί το δικό της προσαρμοσμένο εργαλείο διαρροής και μια ξεχωριστή στρατηγική διείσδυσης στο δίκτυο.
Η Symantec αναφέρει ότι οι επιθέσεις της Buhti αξιοποιούν την πρόσφατα αποκαλυφθείσα ευπάθεια PaperCut NG και MF RCE, την οποία έχουν επίσης εκμεταλλευτεί οι συμμορίες LockBit και Clop.
Οι δράστες βασίζονται στο CVE-2023-27350 για να εγκαταστήσουν τα Cobalt Strike, Meterpreter, Sliver, AnyDesk και ConnectWise σε υπολογιστές-στόχους, χρησιμοποιώντας τα για να κλέψουν διαπιστευτήρια και να κινηθούν πλευρικά σε παραβιασμένα δίκτυα, να κλέψουν αρχεία, να εκτοξεύσουν πρόσθετα payloads και πολλά άλλα.
Τον Φεβρουάριο, η συμμορία εκμεταλλεύτηκε το CVE-2022-47986, ένα κρίσιμο σφάλμα απομακρυσμένης εκτέλεσης κώδικα που επηρεάζει το προϊόν ανταλλαγής αρχείων IBM Aspera Faspex.
Πρόταση:Αρμενία: Δημοσιογράφοι και ακτιβιστές στο στόχαστρο του Pegasus spyware
Το εργαλείο εξαπόλυσης της Buhti είναι ένα κλέφτης βασισμένος σε Go που μπορεί να λαμβάνει command line εντολές που καθορίζουν τους στοχευόμενους καταλόγους στο σύστημα αρχείων.
Το εργαλείο στοχεύει τους ακόλουθους τύπους αρχείων για κλοπή: pdf, php, png, ppt, psd, rar, raw, rtf, sql, svg, swf, tar, txt, wav, wma, wmv, xls, xml, yml, zip, aiff, aspx, docx, epub, json, mpeg, pptx, xlsx και yaml.
Τα αρχεία αντιγράφονται σε ένα αρχείο ZIP και αργότερα μεταφέρονται στους servers της Blacktail.
Η Blacktail και η επιχείρηση ransomware Buhti αποτελούν ένα σύγχρονο παράδειγμα του πόσο εύκολο είναι για τους επίδοξους hackers να αναλάβουν δράση χρησιμοποιώντας αποτελεσματικά εργαλεία κακόβουλου λογισμικού και να προκαλέσουν σημαντική ζημιά σε οργανισμούς. Επιπλέον, ο πηγαίος κώδικας των LockBit και Babuk που διέρρευσε μπορεί να χρησιμοποιηθεί από υπάρχουσες συμμορίες ransomware που θέλουν να μετονομαστούν με διαφορετικό όνομα, χωρίς να αφήνουν καμία σύνδεση με τους προηγούμενους κρυπτογράφους.
Η τακτική της Blacktail να υιοθετεί γρήγορα exploits για πρόσφατα αποκαλυφθείσες ευπάθειες την καθιστά μια ισχυρή απειλή που απαιτεί αυξημένη επαγρύπνηση και προληπτικές στρατηγικές άμυνας, όπως η έγκαιρη επιδιόρθωση.
Διαβάστε επίσης: Volt Typhoon: Κινέζοι hackers παραβιάζουν κρίσιμες υποδομές των ΗΠΑ
πηγή πληροφοριών:bleepingcomputer.com