Esta nueva amenaza usa código filtrado de las familias de ransomware LockBit y Babuk para vulnerar ambos sistemas operativos. Los ciberdelincuentes no han desarrollado su propia cepa de ransomware, pero han creado una utilidad de filtración de datos personalizada para chantajear a las víctimas, táctica denominada como ‘doble extorsión’. En 2022, las soluciones de Kaspersky detectaron más de 74,2 millones de intentos de ataques de ransomware, lo que supone un 20% más que en 2021.
Blacktail, la recientemente descubierta banda de ransomware, ha atacado sistemas Windows y Linux en todo el mundo, incluyendo España, con el ransomware Buthi. La amenaza fue detectada por primera vez en febrero de 2023 por el equipo de la Unidad 42 de Palo Alto Networks, que lo identificó como un ransomware basado en Go para Linux, tal y como ha informado Bleeping Computer.
Esta amenaza se vale de código filtrado de las familias de ransomware LockBit y Babuk para vulnerar ambos sistemas operativos y utiliza la técnica denominada como ‘doble extorsión’ para chantajear a las víctimas. Esta técnica consiste en robar los datos de la víctima y pedir un rescate por ellos. Si la cantidad no es satisfecha o no se abona a tiempo -e incluso aunque se realice el pago en tiempo y forma- los ciberdelincuentes publican parte de los datos sustraídos y reclaman posteriormente una cantidad mayor.
Cuando el ataque tiene éxito, el fondo de pantalla del ordenador cambia, y se pide a la víctima que abra la petición de rescate. Todos los archivos encriptados pasan a tener la extensión ‘.buthi’.
Buhti se dirige a organizaciones de todo el mundo. En concreto, los expertos de Kaspersky han observado ataques en España, República Checa, China, Reino Unido, Etiopía, Estados Unidos, Francia y Bélgica.
«Según las observaciones de Kaspersky, Buhti ha estado atacando activamente sistemas Windows y Linux, algunos de ellos en España, desde principios de febrero de 2023. A diferencia de otros ciberataques que dependen del desarrollo de sus propias cargas útiles, este grupo utiliza exclusivamente variantes de las familias de ransomware LockBit y Babuk filtradas online», explica Marc Rivero, Senior Security Researcher de Kaspersky. “Aunque carecen de capacidad para crear su propio código malicioso, los ciberdelincuentes detrás de Buhti sí tienen acceso a una herramienta desarrollada a medida: un ladrón de información diseñado para buscar y almacenar archivos específicos. Tanto la versión de Windows como la de Linux comparten un código base diferente», concluye.
A pesar de que los grupos que se dedican a reutilizar código no son considerados como expertos, Blacktail utiliza su propia herramienta de filtración, completamente personalizada, y una estrategia de infiltración en la red distinta.
En 2022, las soluciones de Kaspersky detectaron más de 74,2 millones de intentos de ataques de ransomware, lo que supone un 20% más que en 2021 (61,7 millones). De hecho, según el informe IT Security Economics de Kaspersky, las pymes dedicaron una media de 6.500 dólares para recuperar datos robados el pasado año, frente a los 98.000 dólares que gastaron las grandes corporaciones
Para mantener empresas y negocios protegidos frente al ransomware, los expertos de Kaspersky recomiendan:
- Hacer copias de seguridad regularmente y almacenar la información en dispositivos no conectados a la red corporativa. Esto la mantendrá a salvo si se produce un ciberataque.
- Actualizar de manera periódica el sistema operativo y las aplicaciones.
- Utilizar contraseñas seguras para acceder a los servicios corporativos y activar la autenticación de doble factor al acceder a servicios en remoto.
- Hablar con los empleados sobre cómo se producen los ciberataques: correos electrónicos, webs o archivos descargados de fuentes de terceros son importantes vectores de ataque. Es importante formar a la plantilla y realizar pruebas controladas para identificar amenazas. Kaspersky Security Awareness es un buen aliado.
Usar servicios y soluciones de ciberseguridad como Kaspersky Incident Response, Kaspersky Endpoint Detection and Response Expert o Kaspersky Managed Detection and Response para identificar y detener ataques en fase inicial, antes de que los ciberatacantes consigan sus objetivos.
. Leer artículo completo en Frikipandi Buhti: el nuevo ransomware que ataca en España a sistemas Windows y Linux.