Angriffe mit geleaktem Lockbit-Code

Neue Ransomware-Gruppe Buhti ist auch in der Schweiz aktiv

Uhr
von Maximilian Schenner und rja

Eine neue Ransomware-Bande namens Buhti bedroht zahlreiche Unternehmen. Die Gruppe setzt auf den geleakten Code der Ransomware-Familien Lockbit und Babuk, um Windows- respektive Linux-Systeme anzugreifen. Laut Kaspersky sind auch Organisationen in der Schweiz im Visier der Bande.

(Source: zephyr_p - stock.adobe.com)
(Source: zephyr_p - stock.adobe.com)

Eine neue Ransomware-Operation namens Buhti treibt ihr Unwesen. Erstmals wurden die Aktivitäten der Gruppe im Februar 2023 erkannt, wie "Bleepingcomputer" berichtet. Analysen von Kaspersky zufolge soll die Bande inzwischen auch Unternehmen in der Schweiz angreifen.

"Nach unseren Erkenntnissen hat es die Buhti-Gruppe, ein sich schnell entwickelnder Ransomware-Akteur, seit Anfang Februar 2023 aktiv auf Windows- und Linux-Systeme abgesehen", erklärt Marc Rivero, Sicherheitsexperte beim Global Research & Analysis Team (GReAT) von Kaspersky. "Im Gegensatz zu anderen Angreifern, die auf selbstentwickelte Payloads setzen, nutzen die Hintermänner dieser Operation ausschliesslich Varianten der LockBit- und Babuk-Ransomware-Familien, die im Internet geleaked worden sind."

Marc Rivero, Sicherheitsexperte beim Global Research & Analysis Team (GReAT) von Kaspersky. (Source: zVg)

Im September 2022 war der Baukasten für die Lockbit-Ransomware an die Öffentlichkeit gelangt. Der Sourcecode für Babuk, der für das Orchestrieren von Angriffen auf Linux-Systeme zum Einsatz kommt, war laut "Bleepingcomputer" Ende 2021 auf einem russischen Hackerforum veröffentlicht worden.

Auch wenn Blacktail, wie die Akteure hinter "Buhti" inzwischen bezeichnet werden, nicht in der Lage sei, eigenen Schadcode zu erstellen, hätte sie Zugriff auf einen Information Stealer, der speziell für das Aufspüren und Sammeln bestimmter Daten entwickelt wurde, führt Marc Rivero von Kaspersky weiter aus. Der Stealer könne Befehlszeilenargumente empfangen, die die Zielverzeichnisse im Dateisystem angeben, schreibt "Bleepingcomputer". Das Tool nehme die folgenden Dateitypen ins Visier: pdf, php, png, ppt, psd, rar, raw, rtf, sql, svg, swf, tar, txt, wav, wma, wmv, xls, xml, yml, zip, aiff, aspx, docx, epub, json, mpeg, pptx, xlsx, und yaml.

Nach einem erfolgreichen Angriff zeige der Desktop-Hintergrund des attackierten Geräts die Aufforderung, die Erpresserbotschaft zu öffnen und einen bestimmten Bitcoin-Betrag zu bezahlen.

Die folgende Botschaft erscheint auf dem Desktop der gehackten Geräte. (Source: Screenshot / Bleepingcomputer)

Die Erpresserbande zielt laut Kaspersky auf Firmen in der ganzen Welt ab. Abgesehen von der Schweiz habe das Unternehmen Buhti-Betroffene in Deutschland, Tschechien, China, Grossbritannien, Äthiopien, den Vereinigten Staaten, Frankreich, Belgien, Indien, Estland und Spanien festgestellt. 

Die Bande Lockbit bastelt indes anscheinend an einer Ransomware für den Mac, wie Sie hier erfahren. 

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
wAY7C6He