Buhti というランサムウェア:LockBit/Babuk のコードを流用する新たな脅威

New Buhti ransomware gang uses leaked Windows, Linux encryptors

2023/05/25 BleepingComputer — Buhti と命名された新しいランサムウェア・オペレーションが、LockBit/Babuk ランサムウェア・ファミリーの流出コードを使用して、Windows/Linux システムを狙っている。Blacktail として追跡されている Buhti の背後にいる脅威アクターは、独自にランサムウェアを開発せずに、”double-extortion” として知られるカスタムデータ流出ユーティリティを使用して被害者を脅迫している。2023年2月に Palo Alto Networks の Unit 42 チームにより、野放し状態で活動している Buhti が発見されたが、Goland ベースのランサムウェアであり、Linux を標的としていることが確認されている。


Symantec の Threat Hunter チームが 5月25日に発表したレポートによると、Buhti は Windows もターゲットにしており、LockBit 3.0 の亜種である LockBit Black を、僅かに改ざんして使用していることが判明している。

ランサムウェアのリサイクル

Blacktail が攻撃に使用しているのは Windows LockBit 3.0 builder であり、2022年9月に開発者が、Twitter で故意にリークしたものだ。その攻撃が成功すると、侵入されたコンピュータには、身代金請求書を開くように促すメッセージが壁紙として表示され、暗号化された全てのファイルに .buthi 拡張子が付与される。

Buhti ransom note
Buhti の身代金請求書 (Unit 42)

Linux に対する攻撃において Blacktail は、2021年9月に脅威アクターがロシア語圏のハッキングフォーラムに投稿した、Babuk のソースコードに基づくペイロードを使用している。2023年5月の初めに、SentinelLabs と Cisco Talos は、Babuk を使用して Linux システムを攻撃する、新しいランサムウェア・オペレーションの事例を公開している。

こうしたマルウェアの再利用は、一般的に、洗練されていないアクターの兆候と考えられている。しかし、今回のケースでは、サイバー犯罪者にとって非常に収益性の高い VMware ESXi/Linux システムを侵害する能力が実証されているため、複数のランサムウェア・グループが Babuk に注目している。

Blacktail の特徴

Blacktail は、他のハッカーのツールを、最小限の修正で再利用するだけではなく、独自のカスタム流出ツールと、明確なネットワーク侵入戦略を使用している。

Symantec によると、最近に公表された PaperCut NG/MF の RCE 脆弱性を Buhti は悪用しているが、それは LockBit/Clop ギャングと同じ戦略だという。

この攻撃者は、PaperCut の脆弱性 CVE-2023-27350 を介して、ターゲットのコンピュータ上に、Cobalt Strike/Meterpreter/Sliver/AnyDesk/ConnectWise などをインストールする。そして、それらを使用して認証情報を盗み出し、侵害したネットワーク上で横移動し、ファイルの窃取や、追加のペイロード起動などを行う。

また、2023年2月には、IBM Aspera Faspex に影響を及ぼす、与深刻な RCE 脆弱性 CVE-2022-47986 を悪用している。

Buhti の流出ツールは、Golang ベースのスティーラーであり、ファイル・システム内のディレクトリを指定するための、コマンドライン引数を受け取ることができるという。

このツールが窃取の対象とするのは、以下のファイル・タイプである:pdf/php/png/ppt/psd/rar/raw/rtf/sql/svg/swf/tar/txt/wav/wma/wmv/xls/xml/yml/zip/aiff/aspx/docx/epub/json/mpeg/pptx/xlsx/yamel

それらのファイルは、ZIP アーカイブにコピーされた後に、Blacktail のサーバへ向けて流出させられる。

Blacktail と Buhti のオペレーションは、マルウェア・ツールを効果的に利用する脅威アクターの行動により、組織に大きな損害が生じることを示す、最新の事例だと言える。

さらに、流出した LockBit と Babuk のソースコードは、以前のエンクリプターとの関連を残さず、別の名前で再ブランド化を望む、既存のランサムウェア・グループにより利用できる。

Kaspersky の研究者である Marc Rivero は 、チェコ/中国/英国/エチオピア/米国/フランス/ベルギー/インド/エストニア/ドイツ/スペイン/スイスなどで、攻撃を観測したと述べている。

すでに Buthi は、きわめて活発なランサムウェア・オペレーションであり、また、世界中の組織にとって Blacktail は深刻な脅威であり続けている。

Blacktail は、新たに公表された脆弱性に対するエクスプロイトを迅速に採用する戦術をとっているため、警戒を強め、タイムリーなパッチ適用などのプロアクティブな防御戦略が必要とされる。

流出した Babuk のソースコードを流用するランサムウェア・グループとしては、2023/05/12 の「Babuk ランサムウェアのソースコード流出:VMware ESXi を狙う脅威アクターたちが特定された」で、いくつかのグループが列挙されています。ただし、今回の Blacktail は、LockBit の修正版で Windows もターゲットにしているので、この領域で抜きん出たノウハウを持っているのだと推測できます。さらに言うなら、BabukLockBit も、ソースコードの品質が高いのでしょう。 とても厄介な状況になってしまいましたね。