Les acteurs de la menace derrière le naissant Bouhti les ransomwares ont abandonné leur charge utile personnalisée en faveur des familles de ransomwares LockBit et Babuk qui ont fui pour frapper les systèmes Windows et Linux.
« Bien que le groupe ne développe pas son propre ransomware, il utilise ce qui semble être un outil développé sur mesure, un voleur d’informations conçu pour rechercher et archiver des types de fichiers spécifiés », a déclaré Symantec. a dit dans un rapport partagé avec The Hacker News.
La société de cybersécurité suit le groupe de cybercriminalité sous le nom Queue noire. Buhti a été mis en évidence pour la première fois par l’unité 42 de Palo Alto Networks en février 2023, décrivant comme un rançongiciel Golang ciblant la plate-forme Linux.
Plus tard ce même mois, Bitdefender a révélé l’utilisation d’une variante Windows qui a été déployée sur les produits Zoho ManageEngine qui étaient vulnérables aux failles critiques d’exécution de code à distance (CVE-2022-47966).
Depuis, les opérateurs ont été observés en train d’exploiter rapidement d’autres bogues graves affectant l’application d’échange de fichiers Aspera Faspex d’IBM (CVE-2022-47986) et PaperCut (CVE-2023-27350) pour éliminer le ransomware.
Les dernières découvertes de Symantec montrent que le mode opératoire de Blacktail pourrait changer, avec l’acteur tirant parti des versions modifiées du code source du rançongiciel LockBit 3.0 et Babuk divulgué pour cibler respectivement Windows et Linux.
Babuk et LockBit ont tous deux eu leur code source de ransomware publié en ligne en septembre 2021 et septembre 2022, engendrant plusieurs imitateurs.
Un groupe de cybercriminalité notable qui est utilise déjà le constructeur de ransomware LockBit est le Bl00dy Ransomware Gang, qui a récemment été mis en lumière par les agences gouvernementales américaines comme exploitant des serveurs PaperCut vulnérables dans des attaques contre le secteur de l’éducation dans le pays.
Malgré les changements de marque, Blacktail a été observé en utilisant un utilitaire d’exfiltration de données personnalisé écrit en Go qui est conçu pour voler des fichiers avec des extensions spécifiques sous la forme d’une archive ZIP avant le cryptage.
« Alors que la réutilisation des charges utiles divulguées est souvent la marque d’une opération de ransomware moins qualifiée, la compétence générale de Blacktail dans la réalisation d’attaques, associée à sa capacité à reconnaître l’utilité des vulnérabilités nouvellement découvertes, suggère qu’elle ne doit pas être sous-estimée », dit Symantec.
Les ransomwares continuent de poser un problème menace persistante pour les entreprises. Fortinet FortiGuard Labs, plus tôt ce mois-ci, a détaillé une famille de rançongiciels basée sur Go appelée Maori spécialement conçu pour fonctionner sur les systèmes Linux.
Zero Trust + Deception : apprenez à déjouer les attaquants !
Découvrez comment Deception peut détecter les menaces avancées, arrêter les mouvements latéraux et améliorer votre stratégie Zero Trust. Rejoignez notre webinaire perspicace !
Alors que l’utilisation de Go et Rust signale un intérêt de la part des acteurs de la menace pour développer des rançongiciels multiplateformes « adaptatifs » et maximiser la surface d’attaque, c’est aussi le signe d’un écosystème de cybercriminalité en constante évolution où de nouvelles techniques sont adoptées en permanence. .
« Les principaux gangs de ransomwares empruntent des fonctionnalités à partir de codes divulgués ou de codes achetés à d’autres cybercriminels, ce qui peut améliorer les fonctionnalités de leurs propres logiciels malveillants », Kaspersky indiqué dans son rapport sur les tendances des ransomwares pour 2023.
En effet, selon Cyble, une nouvelle famille de rançongiciels baptisée ORB d’obsidienne tire une feuille du Chaos, qui a également été le fondement de autres rançongiciels souches comme Serpent noir et Onix.
Ce qui distingue le rançongiciel, c’est qu’il utilise une méthode de paiement de rançon assez particulière, exigeant que les victimes paient la rançon par le biais de cartes-cadeaux plutôt que par des paiements en crypto-monnaie.
« Cette approche est efficace et pratique pour les acteurs de la menace (TA) car ils peuvent modifier et personnaliser le code selon leurs préférences », a déclaré la société de cybersécurité.