一個(gè)新的勒索軟件操作名為“Bhuti”,使用 LockBit 和 Babuk 勒索軟件家族的泄露代碼分別針對(duì) Windows 和 Linux 系統(tǒng)進(jìn)行攻擊���。
雖然 Buhti 背后的威脅行為者(現(xiàn)在被稱為“Blacktail”)尚未開發(fā)出自己的勒索軟件�,但他們創(chuàng)建了一個(gè)自定義數(shù)據(jù)滲漏實(shí)用程序����,用于勒索受害者,這種策略被稱為“雙重勒索”��。
Buhti 于 2023 年 2 月首次被 Palo Alto Networks 的Unit 42 團(tuán)隊(duì)發(fā)現(xiàn) �,該團(tuán)隊(duì)將其確定為基于 Go 的以 Linux 為目標(biāo)的勒索軟件。
(資料圖)
賽門鐵克威脅獵手團(tuán)隊(duì)今天發(fā)布的一份報(bào)告顯示�����,Buhti 還針對(duì) Windows,使用代號(hào)為“LockBit Black”的略微修改的 LockBit 3.0 變體���。
勒索軟件回收
Blacktail 使用 Windows LockBit 3.0 構(gòu)建器�����,一位心懷不滿的開發(fā)人員 于 2022 年 9 月在 Twitter 上泄露了該架構(gòu) ��。
成功的攻擊會(huì)將攻陷的電腦的墻紙更改為要求受害者打開勒索信的提示����,同時(shí)所有加密的文件都會(huì)獲得“.buthi”的擴(kuò)展名��。
Buhti 贖金記錄 (第 42 單元)
針對(duì) Linux 攻擊�,Blacktail 使用基于一名威脅參與者在 2021 年 9 月在一個(gè)俄羅斯黑客論壇上發(fā)布的 Babuk 源代碼的載荷。
本月早些時(shí)候���, SentinelLabs 和 Cisco Talos 強(qiáng)調(diào)了使用 Babuk 攻擊 Linux 系統(tǒng)的新勒索軟件操作案例�。
雖然惡意軟件重用通常被認(rèn)為是不那么老練的行為者的標(biāo)志�����,但在這種情況下,多個(gè)勒索軟件團(tuán)體傾向于使用 Babuk���,因?yàn)樗蛔C明能夠破壞 VMware ESXi 和 Linux 系統(tǒng)�����,這對(duì)網(wǎng)絡(luò)犯罪分子來(lái)說(shuō)非常有利可圖����。
Blacktail 的特征
Blacktail 不僅僅是一個(gè)僅僅對(duì)其他人黑客工具進(jìn)行輕度修改的抄襲者���。相反����,這個(gè)新團(tuán)伙使用自己的自定義數(shù)據(jù)泄露工具和獨(dú)特的網(wǎng)絡(luò)滲透策略�。
賽門鐵克報(bào)告稱����,Buhti 攻擊利用了 最近披露的 PaperCut NG 和 MF RCE 漏洞,LockBit 和 Clop 團(tuán)伙也利用了該漏洞�。
攻擊者依賴 CVE-2023-27350 來(lái)在目標(biāo)計(jì)算機(jī)上安裝 Cobalt Strike、Meterpreter����、Sliver��、Any Desk 和 ConnectWise�����,并使用它們來(lái)竊取憑證���、橫向滲透已受感染的網(wǎng)絡(luò)、竊取文件����、發(fā)起額外的載荷等。
2 月�����,該團(tuán)伙利用了 CVE-2022-47986���,這是一個(gè)影響 IBM Aspera Faspex 文件交換產(chǎn)品的關(guān)鍵遠(yuǎn)程代碼執(zhí)行漏洞���。
Buhti 的滲透工具是一個(gè)基于 Go 的竊取器,可以接收指定文件系統(tǒng)中目標(biāo)目錄的命令行參數(shù)�。
該工具針對(duì)以下文件類型進(jìn)行盜竊:pdf�、php��、png�、ppt、psd�����、rar�、raw、rtf�����、sql���、svg�����、swf、tar����、txt�、wav��、wma���、wmv�、xls�����、xml�����、yml��、zip��、 aiff����、aspx、docx����、epub�����、json���、mpeg、pptx���、xlsx 和 yaml���。
這些文件被復(fù)制到一個(gè) ZIP 存檔中,然后被泄露到 Blacktail 的服務(wù)器上�。
Blacktail 及其勒索軟件操作 Buhti 構(gòu)成了一個(gè)現(xiàn)代示例,展示了如何使用有效的惡意軟件工具�,輕松地發(fā)動(dòng)攻擊,并對(duì)組織造成重大損害��。
此外��,泄露的 LockBit 和 Babuk 源代碼可以被現(xiàn)有的勒索軟件團(tuán)伙重新命名���,不留任何與之前勒索軟件的聯(lián)系。
卡巴斯基研究員 Marc Rivero 告訴 BleepingComputer���,他們目睹了對(duì)捷克����、中國(guó)、英國(guó)���、埃塞俄比亞���、美國(guó)、法國(guó)�����、比利時(shí)�、印度、愛沙尼亞�、德國(guó)、西班牙和瑞士的攻擊����。
這意味著 Buthi 已經(jīng)是一個(gè)非常活躍的勒索軟件活動(dòng)�,而 Blacktail 仍然是全球組織的重大威脅。
Blacktail 快速利用新披露的漏洞的策略使它們成為一個(gè)強(qiáng)大的威脅,需要提高警惕和主動(dòng)防御策略�����,如及時(shí)修補(bǔ)���。
