I ricercatori di Symantec hanno individuato un nuovo ransomware, denominato Buhti, che sembra una variante di LockBit. Gli autori del malware hanno infatti utilizzato il codice di LockBit pubblicato online. I cybercriminali hanno però sviluppato un tool per l’esfiltrazione dei dati. Non essendo associati ad altri gruppi, Symantec ha scelto il nome Blacktail.
Buhti: erede di LockBit?
Buhti è apparso per la prima volta a febbraio 2023, quando sono stati rilevati attacchi contro sistemi Linux. Symantec ha tuttavia scoperto recenti attacchi contro computer Windows. Analizzando il codice del payload, i ricercatori hanno notato che si tratta di una versione poco modificata di LockBit 3.0 (noto anche come LockBit Black).
Al termine della cifratura dei file viene aggiunta l’estensione .buhti
e mostrato un file di testo con le istruzioni da seguire per il pagamento del riscatto in Bitcoin. Se viene effettuato il pagamento, i cybercriminali inviano alla vittima il link per il download del decryptor.
Il ransomware include due funzionalità disattivate. Una permette di mostrare come sfondo del desktop un’immagine BMP con le istruzioni, mentre l’altra invia informazioni sul computer al server remoto. La versione Linux di Buhti è basata sul codice di Babuk, un altro noto ransomware che può colpire i sistemi VMware ESXi.
Il gruppo Blacktail ha tuttavia sviluppato un tool personalizzato che consente di cercare e rubare i file con specifiche estensioni, prima di avviare la procedura di cifratura. I file sono quindi raccolti in un archivio ZIP e inviati al server remoto per attuare la classica doppia estorsione.
La catena di infezione inizia con l’exploit che sfrutta la vulnerabilità CVE-2023-27350 dei software PaperCut NG/MF. I cybercriminali possono aggirare l’autenticazione e installare i tool necessari per le successive attività, tra cui Cobalt Strike, Meterpreter, Sliver, AnyDesk e ConnectWise.