今天小編分享的互聯網經驗:勒索軟體團夥使用洩露的勒索軟體代碼攻擊 Windows、Linux 系統,歡迎閱讀。
一個新的勒索軟體操作名為 "Bhuti", 使用 LockBit 和 Babuk 勒索軟體家族的洩露代碼分别針對 Windows 和 Linux 系統進行攻擊。
雖然 Buhti 背後的威脅行為者(現在被稱為 "Blacktail")尚未開發出自己的勒索軟體,但他們創建了一個自定義數據滲漏實用程式,用于勒索受害者,這種策略被稱為 " 雙重勒索 "。
Buhti 于 2023 年 2 月首次被 Palo Alto Networks 的 Unit 42 團隊發現 ,該團隊将其确定為基于 Go 的以 Linux 為目标的勒索軟體。
賽門鐵克威脅獵手團隊今天發布的一份報告顯示,Buhti 還針對 Windows,使用代号為 "LockBit Black" 的略微修改的 LockBit 3.0 變體。
勒索軟體回收
Blacktail 使用 Windows LockBit 3.0 構建器,一位心懷不滿的開發人員 于 2022 年 9 月在 Twitter 上洩露了該架構 。
成功的攻擊會将攻陷的電腦的牆紙更改為要求受害者打開勒索信的提示,同時所有加密的檔案都會獲得 ".buthi" 的擴展名。
Buhti 贖金記錄 (第 42 單元)
針對 Linux 攻擊,Blacktail 使用基于一名威脅參與者在 2021 年 9 月在一個俄羅斯黑客論壇上發布的 Babuk 源代碼的載荷。
本月早些時候, SentinelLabs 和 Cisco Talos 強調了使用 Babuk 攻擊 Linux 系統的新勒索軟體操作案例。
雖然惡意軟體重用通常被認為是不那麼老練的行為者的标志,但在這種情況下,多個勒索軟體團體傾向于使用 Babuk,因為它被證明能夠破壞 VMware ESXi 和 Linux 系統,這對網絡犯罪分子來說非常有利可圖。
Blacktail 的特征
Blacktail 不僅僅是一個僅僅對其他人黑客工具進行輕度修改的抄襲者。相反,這個新團夥使用自己的自定義數據洩露工具和獨特的網絡滲透策略。
賽門鐵克報告稱,Buhti 攻擊利用了 最近披露的 PaperCut NG 和 MF RCE 漏洞,LockBit 和 Clop 團夥也利用了該漏洞。
攻擊者依賴 CVE-2023-27350 來在目标計算機上安裝 Cobalt Strike、Meterpreter、Sliver、Any Desk 和 ConnectWise,并使用它們來竊取憑證、橫向滲透已受感染的網絡、竊取檔案、發起額外的載荷等。
2 月,該團夥利用了 CVE-2022-47986,這是一個影響 IBM Aspera Faspex 檔案交換產品的關鍵遠程代碼執行漏洞。
Buhti 的滲透工具是一個基于 Go 的竊取器,可以接收指定檔案系統中目标目錄的命令行參數。
該工具針對以下檔案類型進行盜竊:pdf、php、png、ppt、psd、rar、raw、rtf、sql、svg、swf、tar、txt、wav、wma、wmv、xls、xml、yml、zip、 aiff、aspx、docx、epub、json、mpeg、pptx、xlsx 和 yaml。
這些檔案被復制到一個 ZIP 存檔中,然後被洩露到 Blacktail 的伺服器上。
Blacktail 及其勒索軟體操作 Buhti 構成了一個現代示例,展示了如何使用有效的惡意軟體工具,輕松地發動攻擊,并對組織造成重大損害。
此外,洩露的 LockBit 和 Babuk 源代碼可以被現有的勒索軟體團夥重新命名,不留任何與之前勒索軟體的聯系。
卡巴斯基研究員 Marc Rivero 告訴 BleepingComputer,他們目睹了對捷克、中國、英國、埃塞俄比亞、美國、法國、比利時、印度、愛沙尼亞、德國、西班牙和瑞士的攻擊。
這意味着 Buthi 已經是一個非常活躍的勒索軟體活動,而 Blacktail 仍然是全球組織的重大威脅。
Blacktail 快速利用新披露的漏洞的策略使它們成為一個強大的威脅,需要提高警惕和主動防御策略,如及時修補。
