Los actores de amenazas detrás del naciente Buti ransomware han evitado su carga útil personalizada a favor de las familias de ransomware LockBit y Babuk filtradas para atacar los sistemas Windows y Linux.
«Si bien el grupo no desarrolla su propio ransomware, utiliza lo que parece ser una herramienta desarrollada a medida, un ladrón de información diseñado para buscar y archivar tipos de archivos específicos», Symantec dicho en un informe compartido con The Hacker News.
La firma de ciberseguridad está rastreando al grupo de ciberdelincuencia bajo el nombre Cola trasera. Buhti fue destacado por primera vez por Palo Alto Networks Unit 42 en febrero de 2023, describiendo como un ransomware Golang dirigido a la plataforma Linux.
Más tarde ese mismo mes, Bitdefender reveló el uso de una variante de Windows que se implementó contra los productos Zoho ManageEngine que eran vulnerables a fallas críticas de ejecución remota de código (CVE-2022-47966).
Desde entonces, se ha observado que los operadores explotan rápidamente otros errores graves que afectan a la aplicación de intercambio de archivos Aspera Faspex de IBM (CVE-2022-47986) y PaperCut (CVE-2023-27350) para eliminar el ransomware.
Los últimos hallazgos de Symantec muestran que el modus operandi de Blacktail podría estar cambiando, ya que el actor aprovecha las versiones modificadas del código fuente filtrado de LockBit 3.0 y Babuk ransomware para apuntar a Windows y Linux, respectivamente.
Tanto Babuk como LockBit han tenido su código fuente de ransomware Publicado en línea en septiembre de 2021 y septiembre de 2022, generando múltiples imitadores.
Un grupo notable de ciberdelincuencia que está ya estoy usando el desarrollador de ransomware LockBit es Bl00dy Ransomware Gang, que recientemente fue destacado por las agencias gubernamentales de EE. UU. por explotar servidores PaperCut vulnerables en ataques contra el sector educativo en el país.
A pesar de los cambios de marca, se ha observado que Blacktail utiliza una utilidad de exfiltración de datos personalizada escrita en Go que está diseñada para robar archivos con extensiones específicas en forma de un archivo ZIP antes del cifrado.
«Si bien la reutilización de las cargas filtradas suele ser el sello distintivo de una operación de ransomware menos calificada, la competencia general de Blacktail para llevar a cabo ataques, junto con su capacidad para reconocer la utilidad de las vulnerabilidades recién descubiertas, sugiere que no se debe subestimar». dijo Symantec.
El ransomware sigue planteando un amenaza persistente para empresas Fortinet FortiGuard Labs, a principios de este mes, detalló una familia de ransomware basada en Go llamada maorí que está diseñado específicamente para ejecutarse en sistemas Linux.
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
Si bien el uso de Go y Rust indica un interés por parte de los actores de amenazas para desarrollar ransomware multiplataforma «adaptable» y maximizar la superficie de ataque, también es una señal de un ecosistema de ciberdelincuencia en constante evolución donde se adoptan nuevas técnicas de forma continua. .
«Las principales pandillas de ransomware están tomando prestadas capacidades del código filtrado o del código comprado a otros ciberdelincuentes, lo que puede mejorar la funcionalidad de su propio malware», Kaspersky anotado en su informe de tendencias de ransomware para 2023.
De hecho, según Cyble, una nueva familia de ransomware denominada ORBE de obsidiana saca una hoja del Caos, que también ha sido la base para otro ransomware cepas como Serpiente negra y Onix.
Lo que hace que el ransomware se destaque es que emplea un método de pago de rescate bastante distintivo, exigiendo que las víctimas paguen el rescate a través de tarjetas de regalo en lugar de pagos con criptomonedas.
«Este enfoque es efectivo y conveniente para los actores de amenazas (TA), ya que pueden modificar y personalizar el código según sus preferencias», dijo la firma de ciberseguridad.