一個新的勒索軟件操作名為“Bhuti”,使用 LockBit 和 Babuk 勒索軟件家族的泄露代碼分別針對 Windows 和 Linux 系統(tǒng)進行攻擊。

雖然 Buhti 背后的威脅行為者（現(xiàn)在被稱為“Blacktail”）尚未開發(fā)出自己的勒索軟件，但他們創(chuàng)建了一個自定義數(shù)據(jù)滲漏實用程序，用于勒索受害者，這種策略被稱為“雙重勒索”。

Buhti 于 2023 年 2 月首次被 Palo Alto Networks 的Unit 42 團隊發(fā)現(xiàn) ，該團隊將其確定為基于 Go 的以 Linux 為目標的勒索軟件。

賽門鐵克威脅獵手團隊今天發(fā)布的一份報告顯示，Buhti 還針對 Windows，使用代號為“LockBit Black”的略微修改的 LockBit 3.0 變體。

勒索軟件回收

Blacktail 使用 Windows LockBit 3.0 構(gòu)建器，一位心懷不滿的開發(fā)人員 于 2022 年 9 月在 Twitter 上泄露了該架構(gòu) 。

成功的攻擊會將攻陷的電腦的墻紙更改為要求受害者打開勒索信的提示，同時所有加密的文件都會獲得“.buthi”的擴展名。

Buhti 贖金記錄 （第 42 單元）

針對 Linux 攻擊，Blacktail 使用基于一名威脅參與者在 2021 年 9 月在一個俄羅斯黑客論壇上發(fā)布的 Babuk 源代碼的載荷。

本月早些時候， SentinelLabs 和 Cisco Talos 強調(diào)了使用 Babuk 攻擊 Linux 系統(tǒng)的新勒索軟件操作案例。

雖然惡意軟件重用通常被認為是不那么老練的行為者的標志，但在這種情況下，多個勒索軟件團體傾向于使用 Babuk，因為它被證明能夠破壞 VMware ESXi 和 Linux 系統(tǒng)，這對網(wǎng)絡犯罪分子來說非常有利可圖。

Blacktail 的特征

Blacktail 不僅僅是一個僅僅對其他人黑客工具進行輕度修改的抄襲者。相反，這個新團伙使用自己的自定義數(shù)據(jù)泄露工具和獨特的網(wǎng)絡滲透策略。

賽門鐵克報告稱，Buhti 攻擊利用了 最近披露的 PaperCut NG 和 MF RCE 漏洞，LockBit 和 Clop 團伙也利用了該漏洞。

攻擊者依賴 CVE-2023-27350 來在目標計算機上安裝 Cobalt Strike、Meterpreter、Sliver、Any Desk 和 ConnectWise，并使用它們來竊取憑證、橫向滲透已受感染的網(wǎng)絡、竊取文件、發(fā)起額外的載荷等。

2 月，該團伙利用了 CVE-2022-47986，這是一個影響 IBM Aspera Faspex 文件交換產(chǎn)品的關鍵遠程代碼執(zhí)行漏洞。

Buhti 的滲透工具是一個基于 Go 的竊取器，可以接收指定文件系統(tǒng)中目標目錄的命令行參數(shù)。

該工具針對以下文件類型進行盜竊：pdf、php、png、ppt、psd、rar、raw、rtf、sql、svg、swf、tar、txt、wav、wma、wmv、xls、xml、yml、zip、 aiff、aspx、docx、epub、json、mpeg、pptx、xlsx 和 yaml。

這些文件被復制到一個 ZIP 存檔中，然后被泄露到 Blacktail 的服務器上。

Blacktail 及其勒索軟件操作 Buhti 構(gòu)成了一個現(xiàn)代示例，展示了如何使用有效的惡意軟件工具，輕松地發(fā)動攻擊，并對組織造成重大損害。

此外，泄露的 LockBit 和 Babuk 源代碼可以被現(xiàn)有的勒索軟件團伙重新命名，不留任何與之前勒索軟件的聯(lián)系。

卡巴斯基研究員 Marc Rivero 告訴 BleepingComputer，他們目睹了對捷克、中國、英國、埃塞俄比亞、美國、法國、比利時、印度、愛沙尼亞、德國、西班牙和瑞士的攻擊。

這意味著 Buthi 已經(jīng)是一個非常活躍的勒索軟件活動，而 Blacktail 仍然是全球組織的重大威脅。

Blacktail 快速利用新披露的漏洞的策略使它們成為一個強大的威脅，需要提高警惕和主動防御策略，如及時修補。