Os atores de ameaças por trás do ransomware Buhti em ascensão abandonaram seu payload personalizado em favor das famílias de ransomware vazado LockBit e Babuk para atacar sistemas Windows e Linux.
"Embora o grupo não desenvolva seu próprio ransomware, ele utiliza o que parece ser uma ferramenta desenvolvida sob medida, um ladrão de informações projetado para procurar e arquivar tipos de arquivos especificados", afirmou a Symantec em um relatório compartilhado com o The Hacker News.
A empresa de cibersegurança está rastreando o grupo de crimes cibernéticos sob o nome Blacktail.
O Buhti foi destacado pela primeira vez pela Palo Alto Networks Unit 42 em fevereiro de 2023, descrevendo-o como um ransomware Golang voltado para a plataforma Linux.
Desde então, os operadores têm sido observados rapidamente explorando outras falhas graves que impactam a aplicação de troca de arquivos Aspera Faspex da IBM (
CVE-2022-47986
) e o PaperCut (
CVE-2023-27350
) para distribuir o ransomware.
Os últimos achados da Symantec mostram que o modus operandi da Blacktail pode estar mudando, com o ator aproveitando versões modificadas do código-fonte vazado do ransomware LockBit 3.0 e Babuk para atingir Windows e Linux, respectivamente.
Ambos Babuk e LockBit tiveram seu código-fonte de ransomware publicado online em setembro de 2021 e setembro de 2022, gerando múltiplos imitadores.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...