Ngày 25 tháng 5 năm 2023Ravie Lakshmanan Bảo mật điểm cuối / Mối đe dọa mạng
Các tác nhân đe dọa đằng sau non trẻ buhti ransomware đã tránh tải trọng tùy chỉnh của chúng để ủng hộ các họ ransomware LockBit và Babuk bị rò rỉ để tấn công các hệ thống Windows và Linux.
Symantec cho biết trong một báo cáo được chia sẻ với The Hacker News: “Mặc dù nhóm không phát triển ransomware của riêng mình, nhưng nó sử dụng thứ dường như là một công cụ được phát triển tùy chỉnh, một công cụ đánh cắp thông tin được thiết kế để tìm kiếm và lưu trữ các loại tệp được chỉ định”.
Công ty an ninh mạng đang theo dõi nhóm tội phạm mạng dưới tên đuôi đen. Buhti lần đầu tiên được nêu bật bởi Đơn vị 42 của Palo Alto Networks vào tháng 2 năm 2023, mô tả nó là một phần mềm tống tiền Golang nhắm mục tiêu vào nền tảng Linux.
Cuối tháng đó, Bitdefender tiết lộ việc sử dụng một biến thể Windows được triển khai trên các sản phẩm Zoho ManageEngine dễ bị tổn thương do lỗi thực thi mã từ xa nghiêm trọng (CVE-2022-47966).
Kể từ đó, các nhà khai thác đã nhanh chóng khai thác các lỗi nghiêm trọng khác ảnh hưởng đến ứng dụng trao đổi tệp Aspera Faspex của IBM (CVE-2022-47986) và PaperCut (CVE-2023-27350) để loại bỏ ransomware.
Những phát hiện mới nhất từ Symantec cho thấy phương thức hoạt động của Blacktail có thể đang thay đổi, với việc kẻ tấn công tận dụng các phiên bản sửa đổi của mã nguồn ransomware LockBit 3.0 và Babuk bị rò rỉ để nhắm mục tiêu tương ứng vào Windows và Linux.
Cả Babuk và LockBit đều đã công bố mã nguồn ransomware trực tuyến vào tháng 9 năm 2021 và tháng 9 năm 2022, tạo ra nhiều kẻ bắt chước.
Một nhóm tội phạm mạng đáng chú ý đã sử dụng trình tạo ransomware LockBit là Bl00dy Ransomware Gang, gần đây đã được các cơ quan chính phủ Hoa Kỳ chú ý khi khai thác các máy chủ PaperCut dễ bị tấn công trong các cuộc tấn công vào ngành giáo dục ở nước này.
Blacktail có thể đã tái sử dụng phần mềm độc hại hiện có vì lý do hiệu quả, nhưng nó sử dụng tiện ích lọc dữ liệu tùy chỉnh được viết bằng Go được thiết kế để đánh cắp các tệp có phần mở rộng cụ thể ở dạng tệp lưu trữ ZIP trước khi mã hóa.
“Mặc dù việc sử dụng lại các payload bị rò rỉ thường là dấu hiệu của hoạt động ransomware kém kỹ năng, năng lực chung của Blacktail trong việc thực hiện các cuộc tấn công, cùng với khả năng nhận ra tiện ích của các lỗ hổng mới được phát hiện, cho thấy rằng không nên đánh giá thấp nó.” Symantec cho biết.
Ransomware tiếp tục là mối đe dọa dai dẳng đối với các doanh nghiệp. Fortinet fortiguard Labs, đầu tháng này, đã trình bày chi tiết về một dòng ransomware dựa trên Go có tên là Maori được thiết kế đặc biệt để chạy trên các hệ thống Linux.
Mặc dù việc sử dụng Go và Rust báo hiệu sự quan tâm của một số tác nhân đe dọa đến việc phát triển phần mềm tống tiền đa nền tảng “thích ứng” và tối đa hóa bề mặt tấn công, nhưng đó cũng là dấu hiệu của một hệ sinh thái tội phạm mạng không ngừng phát triển, nơi các kỹ thuật mới được áp dụng liên tục. .
“Các nhóm ransomware lớn đang mượn các khả năng từ mã bị rò rỉ hoặc mã được mua từ tội phạm mạng khác, điều này có thể cải thiện chức năng của phần mềm độc hại của chính chúng”, Kaspersky lưu ý trong báo cáo xu hướng ransomware năm 2023.
Thật vậy, theo Cyble, một dòng ransomware mới có tên là Obsidian ORB lấy từ Chaos, vốn cũng là nền tảng cho các chủng ransomware khác như BlackSnake và Onyx.
Điều làm cho ransomware nổi bật là nó sử dụng một phương thức thanh toán tiền chuộc khá đặc biệt, yêu cầu nạn nhân trả tiền chuộc thông qua thẻ quà tặng thay vì thanh toán bằng tiền điện tử.
Công ty an ninh mạng cho biết: “Cách tiếp cận này hiệu quả và thuận tiện cho các tác nhân đe dọa (TA) vì họ có thể sửa đổi và tùy chỉnh mã theo sở thích của mình”.
