‘Buhti’ adlı yeni bir fidye yazılımı operasyonu, sırasıyla Windows ve Linux sistemlerini hedeflemek için LockBit ve Babuk fidye yazılımı ailelerinin sızdırılmış kodunu kullanıyor.
Artık ‘Blacktail’ olarak takip edilen Buhti’nin arkasındaki tehdit aktörleri kendi fidye yazılım türlerini geliştirmemiş olsalar da, kurbanlara şantaj yapmak için kullandıkları özel bir veri sızdırma aracı yarattılar, bu taktik “çifte gasp” olarak bilinir.
Buhti ilk olarak Şubat 2023’te Palo Alto Networks tarafından vahşi doğada görüldü. Birim 42 ekibionu Go tabanlı Linux hedefli bir fidye yazılımı olarak tanımladı.
Symantec’in Tehdit Avcısı ekibi tarafından bugün yayınlanan bir rapor, Buhti’nin “LockBit Black” kod adlı biraz değiştirilmiş LockBit 3.0 varyantını kullanarak Windows’u da hedef aldığını gösteriyor.
Fidye yazılımı geri dönüşümü
Blacktail, hoşnutsuz bir geliştiricinin Eylül 2022’de Twitter’da sızdırdığı Windows LockBit 3.0 oluşturucusunu kullanıyor.
Başarılı saldırılar, tüm şifrelenmiş dosyalar “.buthi” uzantısını alırken kurbanlara fidye notunu açmalarını söylemek için ihlal edilen bilgisayarların duvar kağıdını değiştirir.
Blacktail, Linux saldırıları için Eylül 2021’de bir tehdit aktörünün Rusça konuşulan bir bilgisayar korsanlığı forumunda yayınladığı Babuk kaynak kodunu temel alan bir yük kullanır.
Bu ayın başlarında, SentinelLabs ve Cisco Talos, Linux sistemlerine saldırmak için Babuk kullanan yeni fidye yazılımı operasyonlarının vakalarını vurguladı.
Kötü amaçlı yazılımların yeniden kullanımı genellikle daha az gelişmiş aktörlerin bir işareti olarak görülse de, bu durumda birden fazla fidye yazılımı grubu, siber suçlular için çok karlı olan VMware ESXi ve Linux sistemlerini tehlikeye atma konusundaki kanıtlanmış yeteneği nedeniyle Babuk’a yöneliyor.
Blacktail’in özellikleri
Blacktail, yalnızca diğer bilgisayar korsanlarının araçlarını minimum değişiklikle yeniden kullanan bir taklitçi değildir. Bunun yerine, yeni grup kendi özel sızma aracını ve farklı bir ağ sızma stratejisini kullanıyor.
Symantec, Buhti saldırılarının, LockBit ve Clop çetelerinin de istismar ettiği, yakın zamanda açıklanan PaperCut NG ve MF RCE güvenlik açığından yararlandığını bildirdi.
Saldırganlar, hedef bilgisayarlara Cobalt Strike, Meterpreter, Sliver, AnyDesk ve ConnectWise yüklemek için CVE-2023-27350’ye güveniyor ve bunları kullanarak kimlik bilgilerini çalıyor ve güvenliği ihlal edilmiş ağlara yanal olarak giriyor, dosyaları çalıyor, ek yükler başlatıyor ve daha fazlasını yapıyor.
Şubat ayında ekip, IBM Aspera Faspex dosya alışverişi ürününü etkileyen kritik bir uzaktan kod yürütme kusuru olan CVE-2022-47986’dan yararlandı.
Buhti’nin sızdırma aracı, dosya sistemindeki hedeflenen dizinleri belirten komut satırı argümanlarını alabilen Go tabanlı bir hırsızdır.
Araç hırsızlık için şu dosya türlerini hedefler: pdf, php, png, ppt, psd, rar, ham, rtf, sql, svg, swf, tar, txt, wav, wma, wmv, xls, xml, yml, zip, aiff, aspx, docx, epub, json, mpeg, pptx, xlsx ve yaml.
Dosyalar bir ZIP arşivine kopyalanır ve daha sonra Blacktail’in sunucularına sızar.
Blacktail ve fidye yazılımı operasyonu Buhti, hevesli tehdit aktörlerinin etkili kötü amaçlı yazılım araçlarını kullanarak harekete geçmesinin ve kuruluşlara önemli zararlar vermesinin ne kadar kolay olduğunun modern bir örneğini oluşturuyor.
Ayrıca, sızan LockBit ve Babuk kaynak kodu, farklı bir ad altında yeniden markalaşmak isteyen mevcut fidye yazılımı çeteleri tarafından kullanılabilir ve önceki şifreleyicilerle hiçbir bağlantı kalmaz.
Blacktail’in yeni ifşa edilen güvenlik açıkları için istismarları hızlı bir şekilde benimseme taktiği, onları daha fazla tetikte olma ve zamanında yama yapma gibi proaktif savunma stratejileri gerektiren güçlü bir tehdit haline getiriyor.