Buhti, un 'ransomware' que emplea la técnica de la doble extorsión y opera en España

Ransomware
Ransomware - PIXABAY
Publicado: viernes, 23 junio 2023 16:58

   MADRID, 23 Jun. (Portaltic/EP) -

Investigadores de ciberseguridad han advertido de un nuevo 'ransomware' para Linux y Windows que emplea una técnica conocida como doble extorsión, esto es, que pide datos de las víctimas para exigir un rescate después y exponer lo datos en caso de negarse a pagarlo, y que opera en España.

   La Unidad 42, perteneciente a la empresa de ciberseguridad Palo Alto Networks, descubrió este 'malware', identificado como Buhti, en febrero de 2023. Entonces señaló que se trataba de un 'ransomware' basado en Go -también conocido como Golang- para Linux.

   Más recientemente, investigadores de Threat Hunter de Symantec han determinado que Buhti, que está gestionado por el grupo de amenazas Blacktail, también se dirige a dispositivos con sistema operativo Windows. Esto es posible porque utilizan una variante LockBit 3.0 ligeramente modificada con el nombre en código lockBit Black

   Desde Symantec puntualizan que, a pesar de que estos ciberdelincuentes no desarrollan su propio 'ransomware', "utiliza lo que parece ser una herramienta desarrollada a medida", esto es, "un ladrón de información diseñado para buscar y almacenar tipos de archivos específicos.

   Más concretamente, esta amenaza se sirve de código filtrado de las familias de 'ransomware' LockBit y Babuk para vulnerar ambos sistemas operativos, para lo que utiliza una técnica llamada 'doble extorsión' para chantajear a las víctimas.

   Esto significa que los ciberdelincuentes primero roban los datos de las víctimas y solicitan el pago de una cantidad para su rescate. Si la cantidad que estas ofrecen no es la que precisan los agentes maliciosos o no se entrega a tiempo, se publica parte de los datos sustraídos.

   No obstante, desde Kaspersky puntualizan que en ciertos casos los ciberdelincuentes también filtran la información de sus víctimas, independientemente de que hayan recibido la cantidad solicitada o hayan cobrado en el tiempo estimado.

   Esta compañía de ciberseguridad ha recordado que, cuando el ataque es exitoso, el fondo de pantalla del ordenador cambia para tornar a color negro, sobre el que se puede leer la petición de rescate. Es entonces cuando todos los archivos encriptados pasan a tener la extensión '.buthi'.

   Este 'ransomware', que se dirige a organizaciones de todo el mundo, se ha observado tanto en países europeos -España, República Checa, China, Reino Unido, Francia y Bélgica- como en África (Etiopía) y Estados Unidos.

   Si bien es cierto que aunque los ciberdelincuentes no tienen la capacidad de crear su propio código malicioso, desde Kaspersky recuerdan que "tienen acceso a una herramienta desarrollada a medida: un ladrón de información diseñado para buscar y almacenar archivos específicos. Tanto la versión de Windows como la de Linux comparten un código base diferente", según el Senior Security Researcher de la firma, Marc Rivero.

   Este ladrón personalizado se encarga de recopilar archivos con diferentes extensiones. Entre ellos .pdf, .php, .wmv, .xml, .zip, .docx, .aiff, .epub, .json, .wma, entre otros.

LAS EMPRESAS, SU PRINCIPAL OBJETIVO

   Empresas y organizaciones son las principales víctimas de este 'ransomware', por lo que desde Kaspersky recomiendan hacer copias de seguridad de sus datos para evitar estos casos de extorsión en caso de que se produzca un ciberataque.

   También es conveniente actualizar de forma periódica el sistema operativo del dispositivo y las aplicaciones, así como utilizar contraseñas seguras para acceder a los servicios corporativos y el sistema de autenticación de doble factor al acceder a servicios en remoto.

   No está de más informar a los empleados sobre cómo se producen los ciberataques como tarea de prevención, así como utilizar soluciones de seguridad que detecten este tipo de intervenciones maliciosas.

Leer más acerca de: