Operasi ransomware baru bernama ‘Buhti’ menggunakan kode yang bocor dari keluarga ransomware LockBit dan Babuk untuk masing-masing menargetkan sistem Windows dan Linux.
Sementara pelaku ancaman di belakang Buhti, sekarang dilacak sebagai ‘Blacktail,’ belum mengembangkan jenis ransomware mereka sendiri, mereka telah membuat utilitas eksfiltrasi data khusus yang mereka gunakan untuk memeras korban, sebuah taktik yang dikenal sebagai “pemerasan ganda”.
Buhti pertama kali ditemukan di alam liar pada Februari 2023 oleh Palo Alto Networks. Tim satuan 42yang mengidentifikasinya sebagai ransomware penargetan Linux berbasis Go.
Sebuah laporan yang diterbitkan hari ini oleh Tim Pemburu Ancaman dari Symantec menunjukkan bahwa Buhti juga menargetkan Windows, menggunakan varian LockBit 3.0 yang sedikit dimodifikasi dengan nama kode “LockBit Black”.
Daur ulang ransomware
Blacktail menggunakan pembuat Windows LockBit 3.0 yang merupakan pengembang yang tidak puas bocor di Twitter pada September 2022.
Serangan yang berhasil mengubah wallpaper komputer yang dilanggar untuk memberi tahu korban agar membuka catatan tebusan sementara semua file terenkripsi menerima ekstensi “.buthi”.
.jpg)
Untuk serangan Linux, Blacktail menggunakan payload berdasarkan kode sumber Babuk yang menjadi aktor ancaman diposting di forum peretasan berbahasa Rusia pada September 2021.
Awal bulan ini, SentinelLab Dan Cisco Talos menyoroti kasus operasi ransomware baru menggunakan Babuk untuk menyerang sistem Linux.
Sementara penggunaan kembali malware umumnya dianggap sebagai tanda aktor yang kurang canggih, dalam hal ini, beberapa kelompok ransomware condong ke Babuk karena kemampuannya yang telah terbukti untuk mengkompromikan sistem VMware ESXi dan Linux, yang sangat menguntungkan bagi penjahat dunia maya.
Ciri-ciri Blacktail
Blacktail bukan hanya peniru yang menggunakan kembali alat peretas lain dengan sedikit modifikasi. Sebagai gantinya, grup baru menggunakan alat eksfiltrasi kustomnya sendiri dan strategi infiltrasi jaringan yang berbeda.
Symantec melaporkan bahwa serangan Buhti telah memanfaatkannya baru-baru ini diungkapkan Kerentanan PaperCut NG dan MF RCE yang Geng LockBit dan Clop juga telah mengeksploitasi.
Para penyerang mengandalkan CVE-2023-27350 untuk menginstal Cobalt Strike, Meterpreter, Sliver, AnyDesk, dan ConnectWise di komputer target, menggunakannya untuk mencuri kredensial dan berpindah secara lateral ke jaringan yang disusupi, mencuri file, meluncurkan muatan tambahan, dan banyak lagi.
Pada bulan Februari, geng tersebut mengeksploitasi CVE-2022-47986cacat eksekusi kode jarak jauh kritis yang berdampak pada produk pertukaran file IBM Aspera Faspex.
Alat eksfiltrasi Buhti adalah pencuri berbasis Go yang dapat menerima argumen baris perintah yang menentukan direktori yang ditargetkan dalam sistem file.
Alat ini menargetkan jenis file berikut untuk pencurian: pdf, php, png, ppt, psd, rar, mentah, rtf, sql, svg, swf, tar, txt, wav, wma, wmv, xls, xml, yml, zip, aiff, aspx, docx, epub, json, mpeg, pptx, xlsx, dan yaml.
File-file tersebut disalin ke dalam arsip ZIP dan kemudian dieksfiltrasi ke server Blacktail.
Blacktail, dan operasi ransomware Buhti, merupakan contoh modern tentang betapa mudahnya calon pelaku ancaman untuk bertindak menggunakan alat malware yang efektif dan menyebabkan kerusakan signifikan pada organisasi.
Selain itu, kode sumber LockBit dan Babuk yang bocor dapat digunakan oleh geng ransomware yang ada yang ingin mengubah citra dengan nama yang berbeda, tanpa meninggalkan koneksi ke enkripsi sebelumnya.
Taktik Blacktail untuk dengan cepat mengadopsi eksploitasi untuk kerentanan yang baru diungkapkan membuat mereka menjadi ancaman kuat yang membutuhkan peningkatan kewaspadaan dan strategi pertahanan proaktif seperti penambalan tepat waktu.
