Phát hiện chủng ransomware mới sử dụng bộ mã hóa Windows, Linux bị rò rỉ

Một hoạt động ransomware mới có tên 'Buhti', sử dụng mã bị rò rỉ của các họ ransomware LockBit và Babuk để nhắm mục tiêu vào các hệ thống Windows và Linux tương ứng, vừa được các nhà nghiên cứu bảo mật quốc tế phát hiện. Mặc dù các tác nhân đe dọa đằng sau Buhti (có nickname “Blacktail”, chưa phát triển chủng ransomware của riêng mình, nhưng chúng đã tạo ra một tiện ích độc hại có thể trích xuất dữ liệu tùy chỉnh sử dụng để tống tiền nạn nhân. Chiến thuật này còn được gọi là "tống tiền kép".

Buhti lần đầu tiên được phát hiện vào tháng 2 năm 2023 bởi đội ngũ bảo mật Unit 42 thuộc Palo Alto Networks. Nhóm này sau đó đã xác định đây là một phần mềm tống tiền nhắm mục tiêu vào Linux dựa trên Go.

Một báo cáo khác được công bố gần đây bởi nhóm Threat Hunter của Symantec cho thấy Buhti còn nhắm mục tiêu cả vào Windows, sử dụng biến thể LockBit 3.0 được sửa đổi một chút có tên mã là "LockBit Black".

“Tái chế ransomware”

Blacktail sử dụng trình tạo Windows LockBit 3.0 mà một nhà phát triển bất mãn đã tiết lộ trên Twitter vào tháng 9 năm 2022.

Các cuộc tấn công thành công sẽ thay đổi hình nền của máy tính bị xâm phạm để yêu cầu nạn nhân mở ghi chú đòi tiền chuộc, trong khi toàn bộ tệp tin được mã hóa đều nhận bị gán phần mở rộng ".buthi" ở đuôi tệp.

Đối với các cuộc tấn công Linux, Blacktail sử dụng một payload dựa trên mã nguồn Babuk mà một kẻ đe dọa đã đăng tải trên một diễn đàn hack nói tiếng Nga vào tháng 9 năm 2021.

Đầu tháng này, SentinelLabs và Cisco Talos đã nêu bật các trường hợp hoạt động của ransomware mới sử dụng Babuk để tấn công các hệ thống Linux.

Mặc dù việc sử dụng lại phần mềm độc hại thường được coi là dấu hiệu của những nhóm hacker ít tinh vi hơn, nhưng trong trường hợp này, nhiều nhóm ransomware lại hướng về Babuk do khả năng đã được chứng minh của nó trong việc xâm phạm các hệ thống VMware ESXi và Linux, vốn mang lại rất nhiều lợi nhuận cho tội phạm mạng.

Nhóm độc hại Blacktail

Blacktail không chỉ đơn thuần bắt chước sử dụng lại các công cụ của tin tặc khác với những sửa đổi tối thiểu. Thay vào đó, chúng sử dụng công cụ lọc tùy chỉnh của riêng mình cùng chiến lược xâm nhập mạng riêng biệt.

Symantec báo cáo rằng các cuộc tấn công Buhti đã tận dụng lỗ hổng PaperCut NG và MF RCE được tiết lộ gần đây mà các nhóm LockBit và Clop cũng đã khai thác.

Những kẻ tấn công dựa vào CVE-2023-27350 để cài đặt Cobalt Strike, Meterpreter, Sliver, AnyDesk và ConnectWise trên các máy tính mục tiêu, sử dụng chúng để đánh cắp thông tin đăng nhập và di chuyển ngang vào các mạng bị xâm nhập, đánh cắp tệp, khởi chạy các tải trọng bổ sung, v.v.

Vào tháng 2, nhóm này đã khai thác CVE-2022-47986, một lỗ hổng thực thi mã từ xa nghiêm trọng ảnh hưởng đến sản phẩm trao đổi tệp IBM Aspera Faspex.

Công cụ lọc của Buhti có khả năng đánh cắp dữ liệu dựa trên Go. Nó có thể nhận các đối số dòng lệnh chỉ định các thư mục được nhắm mục tiêu trong hệ thống tệp. Công cụ này chủ yếu đánh cắp các loại tệp sau: pdf, php, png, ppt, psd, rar, raw, rtf, sql, svg, swf, tar, txt, wav, wma, wmv, xls, xml, yml, zip, aiff, aspx, docx, epub, json, mpeg, pptx, xlsx và yaml. Các tệp bị đánh cắp sau đó được sao chép vào kho lưu trữ ZIP và lọc ra máy chủ của Blacktail.

Blacktail và hoạt động ransomware Buhti của chúng là một ví dụ hiện đại về việc các tác nhân đe dọa có thể lạm dụng phần mềm độc hại hiệu quả và gây thiệt hại đáng kể cho các tổ chức như thế nào.

Hơn nữa, mã nguồn LockBit và Babuk bị rò rỉ vẫn hoàn toàn có thể được sử dụng bởi các nhóm ransomware nhưng dưới dạng một một cái tên khác, không để lại kết nối với các bộ mã hóa trước đó.

Các cuộc tấn công đã được ghi nhận tại Cộng hòa Séc, Trung Quốc, Vương quốc Anh, Ethiopia, Hoa Kỳ, Pháp, Bỉ, Ấn Độ, Estonia, Đức, Tây Ban Nha và Thụy Sĩ. Điều này có nghĩa Buthi vẫn đang là một phần mềm tống tiền hoạt động rất tích cực, và Blacktail vẫn là mối đe dọa đáng kể đối với các tổ chức trên toàn thế giới.

Chiến thuật nhanh chóng áp dụng các khai thác cho các lỗ hổng mới được tiết lộ của Blacktail khiến chúng trở thành một mối đe dọa tiềm tàng đòi hỏi phải tăng cường cảnh giác và các chiến lược phòng thủ chủ động như vá lỗi kịp thời.