Buhti: El nuevo ransomware que amenaza a tus equipos

Se trata de una banda que opera desde febrero de este año. Combinó el código de otras bandas conocidas y lanzó su propio código malicioso. Atacaba a sistemas Linux, ahora también a Windows.

Una nueva operación de ransomware llamada ‘Buhti’ utiliza el código filtrado de las familias de ransomware LockBit para atacar a los sistemas Windows y de Babuk para los sistemas Linux.

Si bien los actores detrás de Buhti, ahora identificados como ‘Blacktail’, no desarrollaron su propia cepa de ransomware, sí crearon su propia herramienta de exfiltración de datos que utilizan para chantajear a las víctimas

Buhti fue detectado por primera vez en febrero de este año por la Unidad 42 de Palo Alto Networks, que lo identificó como un ransomware orientado a atacar sistemas Linux y escrito en el lenguaje de programación Go.

Sin embargo, un reporte publicado hoy por el equipo Threat Hunter de Symantec muestra que Buhti también ataca Windows, usando una variante de LockBit 3.0 llamada “LockBit Black”

Reciclaje de ransomware

Para los ataques en Windows, Blacktail utiliza el builder de LockBit 3.0 que un desarrollador descontento filtró en Twitter en septiembre de 2022.

Los ataques exitosos cambian el fondo de pantalla de las computadoras comprometidas para decirles a las víctimas que abran la nota de rescate mientras todos los archivos cifrados reciben la extensión “.buthi.

El virus afecta tanto a sistemas Linux como Windows.

Si bien Buhti fue conocido por atacar máquinas Linux con payloads escrito en Golang, los análisis luego demostraron que eran todas variantes del ransomware Babuk. En 2021 el código fuente de Babuk fue filtrado en un foro de habla rusa y aprovechado por distintos actores en varios ataques.

Babuk fue uno de los primeros en apuntar a los sistemas ESXi (explotación de máquinas virtuales) con un payload de Linux.

Reciclado no significa menos peligroso

Hay una sensación compartida de que la reutilización de código ya conocido o filtrado implica actores menos importantes detrás. Sin embargo, en el caso de Blacktail, no estamos frente a un imitador que reutiliza las herramientas de otros con modificaciones mínimas. El nuevo grupo utiliza su propia herramienta de exfiltración personalizada y una estrategia de infiltración de red distinta.

Los atacantes utilizan la vulnerabilidad CVE-2023-27350 para instalar Cobalt Strike, Meterpreter, Sliver, AnyDesk y ConnectWise en las computadoras de destino, usándolas para robar credenciales y moverse lateralmente a redes comprometidas, robar archivos, lanzar cargas útiles adicionales y más.

En febrero, el grupo explotó la CVE-2022-47986, una falla crítica de ejecución remota de código que afecta el producto de intercambio de archivos IBM Aspera Faspex.

Creación propia: la Herramienta de exfiltración

Blacktail utliliza al menos una parte de malware personalizado: la herramienta de exiltración de datos – SHA256: 9f0c35cc7aab2984d88490afdb515418306146ca72f49edbfbd85244e63cfabd –

Está diseñada para robar distintos tipos de archivos que se copian y se guardan en un archivo con extensión zip. Esta herramienta puede ser configurada a través de la línea de comando para establecer tanto el directorio donde buscar los archivos y también el nombre de archivo de salida.

La herramienta apunta a robar los siguientes tipos de archivos : pdf, php, png, ppt, psd, rar, raw, rtf, sql, svg, swf, tar, txt, wav, wma, wmv, xls, xml, yml, zip, aiff, aspx, docx, epub, json, mpeg, pptx, xlsx y yaml. Los archivos se copian en un archivo ZIP y luego se filtran a los servidores del grupo delictivo.

Blacktail, y su operación de ransomware Buhti, ponen en evidencia lo fácil que es para actores maliciosos conseguir hacer daño con herramientas ya existentes. Además, el código fuente filtrado de LockBit y Babuk puede ser utilizado por los grupos de ransomware ya existentes para cambiar de marca con un nombre diferente, sin dejar conexión con cifradores anteriores.