Une nouvelle opération de ransomware nommée « Buhti » utilise le code divulgué des familles de ransomwares LockBit et Babuk pour cibler respectivement les systèmes Windows et Linux.
Alors que les acteurs de la menace derrière Buhti, désormais suivis sous le nom de « Blacktail », n’ont pas développé leur propre souche de ransomware, ils ont créé un utilitaire d’exfiltration de données personnalisé qu’ils utilisent pour faire chanter les victimes, une tactique connue sous le nom de « double extorsion ».
Buhti a été repéré pour la première fois dans la nature en février 2023 par l’équipe de l’unité 42 de Palo Alto Networks, qui l’a identifié comme un ransomware ciblant Linux basé sur Go.
Un rapport publié aujourd’hui par l’équipe Threat Hunter de Symantec montre que Buhti cible également Windows, en utilisant une variante légèrement modifiée de LockBit 3.0 nommée « LockBit Black ».
Recyclage des rançongiciels
Blacktail utilise le constructeur Windows LockBit 3.0 qu’un développeur mécontent a divulgué sur Twitter en septembre 2022.
Les attaques réussies modifient le fond d’écran des ordinateurs piratés pour dire aux victimes d’ouvrir la note de rançon tandis que tous les fichiers cryptés reçoivent l’extension « .buthi ».
Pour les attaques Linux, Blacktail utilise une charge utile basée sur le code source Babuk qu’un acteur malveillant a publié sur un forum de piratage russophone en septembre 2021.
Plus tôt ce mois-ci, SentinelLabs et Cisco Talos ont mis en évidence des cas de nouvelles opérations de ransomware utilisant Babuk pour attaquer les systèmes Linux.
Alors que la réutilisation des logiciels malveillants est généralement considérée comme un signe d’acteurs moins sophistiqués, dans ce cas, plusieurs groupes de rançongiciels gravitent autour de Babuk en raison de sa capacité éprouvée à compromettre les systèmes VMware ESXi et Linux, qui sont très rentables pour les cybercriminels.
Les traits de Blacktail
Blacktail n’est pas simplement un imitateur qui réutilise les outils d’autres pirates avec des modifications minimes. Au lieu de cela, le nouveau groupe utilise son propre outil d’exfiltration personnalisé et une stratégie d’infiltration réseau distincte.
Symantec rapporte que les attaques Buhti ont exploité la vulnérabilité PaperCut NG et MF RCE récemment révélée que les gangs LockBit et Clop ont également exploitée.
Les attaquants s’appuient sur CVE-2023-27350 pour installer Cobalt Strike, Meterpreter, Sliver, AnyDesk et ConnectWise sur les ordinateurs cibles, en les utilisant pour voler des informations d’identification et se déplacer latéralement dans des réseaux compromis, voler des fichiers, lancer des charges utiles supplémentaires, etc.
En février, le gang a exploité CVE-2022-47986, une faille critique d’exécution de code à distance affectant le produit d’échange de fichiers IBM Aspera Faspex.
L’outil d’exfiltration de Buhti est un voleur basé sur Go qui peut recevoir des arguments de ligne de commande qui spécifient les répertoires ciblés dans le système de fichiers.
L’outil cible les types de fichiers suivants pour le vol : pdf, php, png, ppt, psd, rar, raw, rtf, sql, svg, swf, tar, txt, wav, wma, wmv, xls, xml, yml, zip, aiff, aspx, docx, epub, json, mpeg, pptx, xlsx et yaml.
Les fichiers sont copiés dans une archive ZIP et ensuite exfiltrés vers les serveurs de Blacktail.
Blacktail et son opération de rançongiciel Buhti constituent un exemple moderne de la facilité avec laquelle les aspirants cybercriminels peuvent passer à l’action à l’aide d’outils malveillants efficaces et causer des dommages importants aux organisations.
De plus, le code source divulgué de LockBit et Babuk peut être utilisé par les gangs de rançongiciels existants qui souhaitent changer de marque sous un nom différent, ne laissant aucun lien avec les chiffreurs précédents.
La tactique de Blacktail consistant à adopter rapidement des exploits pour les vulnérabilités nouvellement révélées en fait une menace puissante qui nécessite une vigilance accrue et des stratégies de défense proactives telles que l’application de correctifs en temps opportun.