Hacker

「Buhti」という名前の新しいランサムウェア オペレーションは、LockBit ランサムウェア ファミリと Babuk ランサムウェア ファミリの漏洩コードを使用して、それぞれ Windows システムと Linux システムをターゲットにします。

現在「Blacktail」として追跡されている Buhti の背後にいる攻撃者は、独自のランサムウェアを開発していませんが、被害者を脅迫するために使用するカスタムのデータ抽出ユーティリティを作成しました。これは「二重恐喝」として知られる戦術です。

Buhti は、2023 年 2 月にパロアルトネットワークスのUnit 42 チームによって実際に存在していることが最初に発見され、Go ベースの Linux をターゲットとしたランサムウェアであると特定されました。

シマンテックの脅威ハンターチームが本日発表したレポートによると、Buhti はコードネーム「LockBit Black」と呼ばれるわずかに変更された LockBit 3.0 の亜種を使用して Windows もターゲットにしていることが示されています。

ランサムウェアのリサイクル

Blacktail は、不満を抱いた開発者が 2022 年 9 月にTwitter で漏洩したWindows LockBit 3.0 ビルダーを使用しています。

攻撃が成功すると、侵害されたコンピュータの壁紙が変更され、被害者に身代金メモを開くよう指示され、すべての暗号化ファイルには拡張子「.buthi」が付けられます。

ブフティ身代金メモ
ブフティ身代金メモ(ユニット 42)

Linux 攻撃の場合、Blacktail は、2021 年 9 月に脅威アクターがロシア語圏のハッキング フォーラムに投稿したBabuk ソース コードに基づくペイロードを使用します。

今月初め、 SentinelLabsCisco Talos は、Babak を使用して Linux システムを攻撃する新たなランサムウェア運用の事例を強調しました。

一般に、マルウェアの再利用はそれほど洗練されていない攻撃者の兆候であると考えられていますが、この場合、サイバー犯罪者にとって非常に利益となる VMware ESXi および Linux システムを侵害する能力が証明されているため、複数のランサムウェア グループが Babuk に引き寄せられます。

ブラックテイルの特徴

Blacktail は、他のハッカーのツールを最小限の変更で再利用する単なる模倣者ではありません。代わりに、新しいグループは独自のカスタム抽出ツールと独自のネットワーク侵入戦略を使用します。

Symantec の報告によると、Buhti 攻撃は、 最近明らかになったPaperCut NG および MF RCE の脆弱性を利用しており、 LockBit および Clop ギャングもこの脆弱性を悪用しています

攻撃者はCVE-2023-27350を利用して、Cobalt Strike、Meterpreter、Sliver、AnyDesk、ConnectWise をターゲット コンピューターにインストールし、これらを使用して資格情報を盗み、侵害されたネットワークに横方向に移動し、ファイルを盗み、追加のペイロードを起動します。

2 月に、この集団は、IBM Aspera Faspex ファイル交換製品に影響を与える重大なリモート コード実行の欠陥であるCVE-2022-47986を悪用しました。

Buhti の抽出ツールは、ファイル システム内のターゲット ディレクトリを指定するコマンド ライン引数を受け取ることができる Go ベースのスティーラーです。

このツールは次のファイル タイプを盗難の対象としています: pdf、php、png、ppt、psd、rar、raw、rtf、sql、svg、swf、tar、txt、wav、wma、wmv、xls、xml、yml、zip、 aiff、aspx、docx、epub、json、mpeg、pptx、xlsx、yaml。

ファイルは ZIP アーカイブにコピーされ、その後 Blacktail のサーバーに抽出されます。

Blacktail とそのランサムウェア オペレーション Buhti は、野心的な攻撃者が効果的なマルウェア ツールを使用して行動を開始し、組織に重大な損害を与えることがいかに簡単であるかを示す現代の例となっています。

さらに、漏洩した LockBit および Babuk のソース コードは、以前の暗号化プログラムとのつながりを残さず、別の名前でブランドを変更したい既存のランサムウェア ギャングによって使用される可能性があります。

新たに明らかになった脆弱性のエクスプロイトを迅速に採用するという Blacktail の戦術により、脆弱性は強力な脅威となり、警戒の強化と、タイムリーなパッチ適用などの積極的な防御戦略が必要となります。