Une opération de ransomware récemment identifiée a transformé les charges utiles LockBit et Babuk divulguées en ransomware Buhti, pour lancer des attaques sur les systèmes Windows et Linux.
Utilisation d’exploits publics
L’un des aspects notables des attaquants qui exploitent le rançongiciel Buhti est leur capacité à exploiter rapidement les vulnérabilités récemment révélées (par exemple, les failles PaperCut et IBM Aspera Faspex récemment corrigées).
Les attaquants exploitent des exploits publics, a déclaré Dick O’Brien, analyste principal du renseignement au sein de l’équipe Symantec Threat Hunter, à Help Net Security. Ceux-ci permettent aux acteurs de la menace de contourner l’authentification et d’exécuter du code à distance, leur fournissant un accès non autorisé aux systèmes ciblés.
Le rançongiciel Buhti cible les appareils Windows et Linux
La charge utile du ransomware Buhti ciblant les ordinateurs Windows est une version légèrement modifiée du ransomware LockBit 3.0 divulgué.
Les fichiers cryptés reçoivent l’extension .buhti, et les victimes reçoivent une note de rançon décrivant les demandes et les instructions de paiement.
Note de rançon Buhti (Source : Symantec)
Pour cibler les systèmes Linux, Buhti utilise une variante du rançongiciel Babuk divulgué.
« Babuk a été l’un des premiers acteurs de ransomwares à cibler les systèmes ESXi avec une charge utile Linux. Le code source de Babuk a été divulgué en 2021 et depuis lors, il a été adopté et réutilisé par plusieurs opérations de ransomware », a expliqué Symantec.
Le texte de la demande de rançon est toujours le même, mais l’adresse de paiement fournie est différente.
Exploitation d’outils divulgués, personnalisés et légitimes
Ils utilisent peut-être des charges utiles de ransomware divulguées et renommées, mais Blacktail utilise un outil d’exfiltration de données personnalisé pour voler des types de fichiers spécifiques à partir de systèmes compromis.
« L’outil peut être configuré via des arguments de ligne de commande pour spécifier à la fois le répertoire dans lequel rechercher les fichiers d’intérêt et le nom de l’archive de sortie », ont déclaré les chercheurs.
Les attaquants utilisent également des outils d’accès à distance légitimes (AnyDesk, ConnectWise) et des versions piratées d’outils de test d’intrusion comme Cobalt Strike pour accéder à l’ordinateur, voler des données et fournir la charge utile du ransomware.
Étant donné l’absence de lien direct entre Buhti et toute organisation cybercriminelle connue, les chercheurs ont surnommé les opérateurs « Blacktail ».
« Alors que la réutilisation des charges utiles divulguées est souvent la marque d’une opération de ransomware moins qualifiée, la compétence générale de Blacktail dans la réalisation d’attaques, associée à sa capacité à reconnaître l’utilité des vulnérabilités nouvellement découvertes, suggère qu’il ne doit pas être sous-estimé », Symantec a conclu.
Toute l’actualité en temps réel, est sur L’Entrepreneur
