Af Eskil Sørensen, 05/06/23
En nyere ransomware-gruppe, der går under navnene Buhti eller Blacktail, bruger lækket kode fra ransomware-familierne LockBit- og Babuk til at sætte angreb ind mod Windows- og Linux-systemer.
Det skriver Bleeping Computer.
Der er tale om en gruppe, hvis aktiviteter første gang blev observeret i februar i år af Palo Alto Networks' Unit 42-team. Palo Alto Netværks fandt, at der var tale om en Go-baseret ransomware rettet mod Linux. Nu viser det sig, at gruppen også retter sig mod Windows, hvilket sker ved genbrug af en ransomwaretype, der ses som en variant af LockBit 3.0-variant.
Kopister
Trusselsaktørerne bag Blacktail har således ikke selv udviklet deres egen ransomware-stamme ift. angreb mod Windows, men kopieret løsningen, der angiveligt blev lækket af utilfreds udvikler i 2022. Til angreb mod Linux anvendes en payload, som er baseret på Babuk-kildekoden: Denne blev postet på et russisktalende hackingforum i september 2021 og set anvendt af SentinelLabs og Cisco Talos tidligere på måneden.
Til gengæld har gruppen tilsyneladende selv skabt et brugerdefineret dataeksfiltreringsværktøj, som de bruger til at udføre dobbeltafpresning.
Bleeping Computer skriver, at genbrug af malware generelt anses for at være et tegn på, at der er tale om mindre sofistikerede aktører. I dette tilfælde tiltrækkes flere ransomware-grupper af Babuk på grund af dets evne til at kompromittere VMware ESXi- og Linux-systemer, hvilket angiveligt er en meget rentabel forretning for cyberkriminelle.