Gli attori di minaccia dietro il ransomware emergente Buhti hanno messo da parte il loro payload personalizzato per utilizzare le famiglie di ransomware LockBit e Babuk, recentemente trapelate, contro i sistemi Windows e Linux.
L’approccio di Buhti
Nonostante il gruppo non sviluppi un proprio ransomware, sembra utilizzare uno strumento personalizzato, uno stealer di informazioni progettato per cercare e archiviare specifici tipi di file, come riportato da Symantec. Questo gruppo cybercriminale è monitorato dalla società di cybersecurity con il nome di Blacktail. Buhti è stato segnalato per la prima volta da Palo Alto Networks Unit 42 a febbraio 2023, descritto come un ransomware Golang che prende di mira la piattaforma Linux.
L’evoluzione di Buhti
Le ultime scoperte di Symantec mostrano che il modus operandi di Blacktail potrebbe essere in fase di cambiamento, con l’attore che sfrutta versioni modificate del codice sorgente dei ransomware LockBit 3.0 e Babuk, trapelati, per colpire Windows e Linux rispettivamente. Entrambi i ransomware, Babuk e LockBit, hanno visto il loro codice sorgente pubblicato online, rispettivamente nel settembre 2021 e nel settembre 2022, generando numerosi imitatori.
Le nuove strategie di attacco
Nonostante i cambiamenti di branding, si è osservato che Blacktail utilizza un’utilità di esfiltrazione dei dati personalizzata scritta in Go, progettata per rubare file con specifiche estensioni sotto forma di archivio ZIP prima della cifratura. Il ransomware continua a rappresentare una minaccia persistente per le imprese. Fortinet FortiGuard Labs, all’inizio di questo mese, ha dettagliato una famiglia di ransomware basata su Go chiamata Maori, progettata specificamente per funzionare sui sistemi Linux.