Os atores de ameaças por trás do ransomware Buhti em ascensão abandonaram seu payload personalizado em favor das famílias de ransomware vazado LockBit e Babuk para atacar sistemas Windows e Linux.
"Embora o grupo não desenvolva seu próprio ransomware, ele utiliza o que parece ser uma ferramenta desenvolvida sob medida, um ladrão de informações projetado para procurar e arquivar tipos de arquivos especificados", afirmou a Symantec em um relatório compartilhado com o The Hacker News.
A empresa de cibersegurança está rastreando o grupo de crimes cibernéticos sob o nome Blacktail.
O Buhti foi destacado pela primeira vez pela Palo Alto Networks Unit 42 em fevereiro de 2023, descrevendo-o como um ransomware Golang voltado para a plataforma Linux.
Desde então, os operadores têm sido observados rapidamente explorando outras falhas graves que impactam a aplicação de troca de arquivos Aspera Faspex da IBM (
CVE-2022-47986
) e o PaperCut (
CVE-2023-27350
) para distribuir o ransomware.
Os últimos achados da Symantec mostram que o modus operandi da Blacktail pode estar mudando, com o ator aproveitando versões modificadas do código-fonte vazado do ransomware LockBit 3.0 e Babuk para atingir Windows e Linux, respectivamente.
Ambos Babuk e LockBit tiveram seu código-fonte de ransomware publicado online em setembro de 2021 e setembro de 2022, gerando múltiplos imitadores.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...