Yeni tanımlanan bir fidye yazılımı operasyonu, hem Windows hem de Linux sistemlerine saldırılar başlatmak için sızan LockBit ve Babuk yüklerini Buhti fidye yazılımına dönüştürdü.
Herkese açık istismarların kullanımı
Buhti fidye yazılımından yararlanan saldırganların dikkate değer bir yönü, yeni ortaya çıkan güvenlik açıklarından (örneğin, yakın zamanda yamalanan PaperCut ve IBM Aspera Faspex kusurları) hızla yararlanma becerileridir.
Symantec Threat Hunter ekibinin baş istihbarat analisti Dick O’Brien, Help Net Security’ye saldırganların halka açık açıklardan yararlandığını söyledi. Bunlar, tehdit aktörlerinin kimlik doğrulamasını atlamasına ve uzaktan kod yürütmesine olanak tanıyarak hedeflenen sistemlere yetkisiz erişim sağlar.
Buhti fidye yazılımı, Windows ve Linux cihazlarını hedefliyor
Windows bilgisayarlarını hedefleyen Buhti fidye yazılımı yükü, sızan LockBit 3.0 fidye yazılımının biraz değiştirilmiş bir versiyonudur.
Şifrelenmiş dosyalar .buht Uzatma ve mağdurlar, ödeme taleplerini ve talimatlarını özetleyen bir fidye notu alır.
Buhti fidye notu (Kaynak: Symantec)
Linux sistemlerini hedeflemek için Buhti, sızan Babuk fidye yazılımının bir çeşidini kullanır.
“Babuk, bir Linux yükü ile ESXi sistemlerini hedef alan ilk fidye yazılımı aktörlerinden biriydi. Babuk’un kaynak kodu 2021’de sızdırıldı ve o zamandan beri birden fazla fidye yazılımı operasyonu tarafından benimsenip yeniden kullanıldı,” diye açıkladı Symantec.
Fidye notunun metni her zaman aynıdır, ancak sağlanan ödeme adresi farklıdır.
Sızan, özel ve meşru araçlardan yararlanma
Sızan ve yeniden markalanan fidye yazılımı yüklerini kullanıyor olabilirler, ancak Blacktail, güvenliği ihlal edilmiş sistemlerden belirli dosya türlerini çalmak için özel bir veri sızdırma aracından yararlanır.
Araştırmacılar, “Araç, hem ilgilenilen dosyaların aranacağı dizini hem de çıktı arşivinin adını belirtmek için komut satırı argümanlarıyla yapılandırılabilir” dedi.
Saldırganlar ayrıca bilgisayara erişmek, verileri çalmak ve fidye yazılımı yükünü teslim etmek için meşru uzaktan erişim araçlarını (AnyDesk, ConnectWise) ve Cobalt Strike gibi sızma testi araçlarının kırık sürümlerini kullanır.
Buhti ile bilinen herhangi bir siber suç örgütü arasında doğrudan bir bağlantı olmadığı göz önüne alındığında, araştırmacılar operatörleri “Karakuyruk” olarak adlandırdı.
“Sızan yüklerin yeniden kullanılması genellikle daha az beceriye sahip bir fidye yazılımı operasyonunun ayırt edici özelliği olsa da, Blacktail’in saldırı gerçekleştirme konusundaki genel yetkinliği ve yeni keşfedilen güvenlik açıklarının faydasını fark etme yeteneği, bunun hafife alınmaması gerektiğini gösteriyor.” Symantec bitirdi.