0
0
Uma operação de ransomware recém-identificada remodelou cargas úteis vazadas do LockBit e Babuk no ransomware Buhti, para lançar ataques em sistemas Windows e Linux.
Uso de exploits públicos
Um aspecto notável dos invasores que aproveitam o ransomware Buhti é sua capacidade de explorar rapidamente vulnerabilidades recém-divulgadas (por exemplo, as falhas recentemente corrigidas do PaperCut e do IBM Aspera Faspex).
Os invasores estão aproveitando explorações públicas, disse Dick O’Brien, principal analista de inteligência da equipe do Symantec Threat Hunter, à Help Net Security. Isso permite que os agentes de ameaças ignorem a autenticação e executem código remotamente, fornecendo-lhes acesso não autorizado aos sistemas de destino.
O ransomware Buhti tem como alvo dispositivos Windows e Linux
A carga útil do ransomware Buhti visando computadores Windows é uma versão ligeiramente modificada do ransomware LockBit 3.0 vazado.
Os arquivos criptografados recebem a extensão .buhti e as vítimas recebem uma nota de resgate descrevendo as demandas e instruções para pagamento.
Nota de resgate Buhti (Fonte: Symantec)
Para atingir sistemas Linux, Buhti emprega uma variante do ransomware Babuk vazado.
“Babuk foi um dos primeiros atores de ransomware a atingir sistemas ESXi com uma carga útil Linux. O código-fonte do Babuk vazou em 2021 e, desde então, foi adotado e reutilizado por várias operações de ransomware”, explicou a Symantec.
O texto da nota de resgate é sempre o mesmo, mas o endereço de pagamento fornecido é diferente.
Aproveitando ferramentas vazadas, personalizadas e legítimas
Eles podem estar usando cargas de ransomware vazadas e renomeadas, mas o Blacktail aproveita uma ferramenta personalizada de exfiltração de dados para roubar tipos de arquivos específicos de sistemas comprometidos.
“A ferramenta pode ser configurada por meio de argumentos de linha de comando para especificar o diretório para procurar arquivos de interesse e o nome do arquivo de saída”, disseram os pesquisadores.
Os invasores também usam ferramentas legítimas de acesso remoto (AnyDesk, ConnectWise) e versões crackeadas de ferramentas de pentesting como o Cobalt Strike para acessar o computador, roubar dados e entregar a carga útil do ransomware.
Dada a ausência de uma conexão direta entre Buhti e qualquer organização de cibercrime conhecida, os pesquisadores apelidaram os operadores de “Blacktail”.
“Embora a reutilização de cargas vazadas seja muitas vezes a marca registrada de uma operação de ransomware menos qualificada, a competência geral da Blacktail na realização de ataques, juntamente com sua capacidade de reconhecer a utilidade de vulnerabilidades recém-descobertas, sugere que não deve ser subestimada”, concluiu a Symantec.
FONTE: HELPNET SECURITY