Gangue de Ransomware Buhti muda táticas, utiliza códigos vazados do LockBit e Babuk
25 de Maio de 2023

Os atores de ameaças por trás do ransomware Buhti em ascensão abandonaram seu payload personalizado em favor das famílias de ransomware vazado LockBit e Babuk para atacar sistemas Windows e Linux.

"Embora o grupo não desenvolva seu próprio ransomware, ele utiliza o que parece ser uma ferramenta desenvolvida sob medida, um ladrão de informações projetado para procurar e arquivar tipos de arquivos especificados", afirmou a Symantec em um relatório compartilhado com o The Hacker News.

A empresa de cibersegurança está rastreando o grupo de crimes cibernéticos sob o nome Blacktail.

O Buhti foi destacado pela primeira vez pela Palo Alto Networks Unit 42 em fevereiro de 2023, descrevendo-o como um ransomware Golang voltado para a plataforma Linux.

Desde então, os operadores têm sido observados rapidamente explorando outras falhas graves que impactam a aplicação de troca de arquivos Aspera Faspex da IBM ( CVE-2022-47986 ) e o PaperCut ( CVE-2023-27350 ) para distribuir o ransomware.

Os últimos achados da Symantec mostram que o modus operandi da Blacktail pode estar mudando, com o ator aproveitando versões modificadas do código-fonte vazado do ransomware LockBit 3.0 e Babuk para atingir Windows e Linux, respectivamente.

Ambos Babuk e LockBit tiveram seu código-fonte de ransomware publicado online em setembro de 2021 e setembro de 2022, gerando múltiplos imitadores.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...