Los actores de amenazas detrás del nuevo ransomware llamado Buhti han dejado de utilizar su propia carga personalizada y ahora están utilizando versiones filtradas de las familias de ransomware LockBit y Babuk para atacar sistemas Windows y Linux. "Si bien el grupo no desarrolla su propio ransomware, utiliza lo que parece ser una herramienta personalizada desarrollada, un roba información diseñado para buscar y archivar tipos de archivos especificados", informó Symantec en un informe compartido con The Hacker News.
La firma de ciberseguridad está rastreando al grupo delictivo bajo el nombre de Blacktail. Buhti fue resaltado por primera vez por Palo Alto Networks Unit 42 en febrero de 2023, describiéndolo como un ransomware escrito en Golang que apunta a la plataforma Linux. Más adelante, en el mismo mes, Bitdefender reveló el uso de una variante de Windows que se implementó contra productos de Zoho ManageEngine que eran vulnerables a fallos crÃticos de ejecución remota de código (CVE-2022-47966).
Desde entonces, se ha observado que los operadores aprovechan rápidamente otros errores graves que afectan la aplicación de intercambio de archivos IBM Aspera Faspex (CVE-2022-47986) y PaperCut (CVE-2023-27350) para distribuir el ransomware.
Los últimos hallazgos de Symantec muestran que el modus operandi de Blacktail podrÃa estar cambiando, ya que el grupo está aprovechando versiones modificadas del código fuente filtrado de LockBit 3.0 y Babuk ransomware para atacar Windows y Linux, respectivamente. Tanto Babuk como LockBit han tenido su código fuente de ransomware publicado en lÃnea en septiembre de 2021 y septiembre de 2022, lo que ha dado lugar a múltiples imitadores.
Un destacado grupo delictivo que ya está utilizando el constructor de ransomware LockBit es la banda de ransomware Bl00dy, que recientemente fue destacada por agencias gubernamentales de Estados Unidos por aprovechar servidores PaperCut vulnerables en ataques contra el sector educativo del paÃs.
A pesar de los cambios de rebranding, se ha observado que Blacktail utiliza una utilidad personalizada de exfiltración de datos escrita en Go, que está diseñada para robar archivos con extensiones especÃficas en forma de un archivo ZIP antes de encriptarlos.
"Aunque la reutilización de cargas filtradas a menudo es caracterÃstica de una operación de ransomware menos habilidosa, la competencia general de Blacktail para llevar a cabo ataques, junto con su capacidad para reconocer la utilidad de vulnerabilidades recién descubiertas, sugiere que no debe subestimarse", dijo Symantec. El ransomware sigue representando una amenaza persistente para las empresas. Fortinet FortiGuard Labs, a principios de este mes, detalló una familia de ransomware basada en Go llamada Maori, diseñada especÃficamente para ejecutarse en sistemas Linux.
Si bien el uso de Go y Rust señala un interés por parte de los actores de amenazas en desarrollar ransomware "adaptativo" multiplataforma y maximizar la superficie de ataque, también es un indicio de un ecosistema delictivo en constante evolución, donde se adoptan nuevas técnicas de manera continua. "Las principales bandas de ransomware están adoptando capacidades de código filtrado o código adquirido de otros ciberdelincuentes, lo que puede mejorar la funcionalidad de su propio malware", señaló Kaspersky en su informe sobre las tendencias de ransomware para 2023.
De hecho, según Cyble, una nueva familia de ransomware llamada Obsidian ORB toma inspiración de Chaos, que también ha servido de base para otras variantes de ransomware como BlackSnake y Onyx.
Lo que hace que este ransomware destaque es que utiliza un método de pago de rescate bastante distintivo, exigiendo a las vÃctimas que paguen el rescate a través de tarjetas de regalo en lugar de pagos con criptomonedas. "Este enfoque es efectivo y conveniente para los actores de amenazas, ya que pueden modificar y personalizar el código según sus preferencias", afirmó la firma de ciberseguridad.
¿Quieres saber más?