Buhti : 새로운 랜섬웨어 운영은 용도로 다른 페이로드에 의존

Impotant:
http://91.215.85.183
d65225dc56d8ff0ea2205829c21b5803fcb03dc57a7e9da5062cbd74e1a6b7d6
01b09b554c30675cc83d4b087b31f980ba14e9143d387954df484894115f82d4
91.215.85.183
898d57b312603f091ff1a28cb2514a05bd9f0eb55ace5d6158cc118d1e37070a
063fcedd3089e3cea8a7e07665ae033ba765b51a6dc1e7f54dde66a79c67e1e7
d59df9c859ccd76c321d03702f0914debbadc036e168e677c57b9dcc16e980cb
81.161.229.120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://81.161.229.120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요약:
Symantec Enterprise 블로그에서는 2023년 5월 25일에 새로운 랜섬웨어 운영인 Buhti가 소개되었다고 보고했습니다. Buhti는 유출된 Lockbit 및 Babuk Ransomware 페이로드의 브랜드 변형을 사용하지만 자체 사용자 정의 exfiltration 도구를 사용합니다. 그룹은 자체 랜섬웨어를 개발하지는 않지만 지정된 파일 유형을 검색하고 보관하도록 설계된 정보 스틸러 인 사용자 정의 개발 도구를 사용합니다. 그룹은 최근에 공개된 취약점을 빠르게 악용하며 최근의 공격은 최근에 패치 된 종이 컷 취약점을 이용했습니다. Symantec은 배우 이름 Blacktail을 운영자에게 할당했다. 2023년 5월 25일에 Symantec Enterprise 블로그에서 새로운 랜섬웨어 운영인 Buhti가 보고되었습니다. Buhti는 유출된 Lockbit 및 Babuk Ransomware 페이로드의 브랜드 변형을 사용하며, 자체 사용자 정의 exfiltration 도구를 사용합니다. 그룹은 자체 랜섬웨어를 개발하지 않고, 지정된 파일 유형을 검색하고 보관하도록 설계된 정보 스틸러 인 사용자 정의 개발 도구를 사용합니다. 그룹은 최근에 공개된 취약점을 악용하며, 최근의 공격은 최근에 패치된

내용:
Symantec Enterprise 블로그 위협 인텔리전스 메뉴 메인 메뉴 블로그 홈 위협 인텔리전스 - 모든 부문 기능 스토리 - Symantec Enterprise Expert Perspectives -Symantec Enterprise 제품 통찰력 랜섬웨어 SolarWinds RSA Conference 검색 Broadcom Home Hunter Team Symantec 게시 : 5 월 25 일, 2023 년 5 월 5 Min Read ThratesIntelligence Subscribe Twitter 링크 링크 링크 Buhti : 새로운 랜섬웨어 운영은 용도 변경 페이로드에 의존합니다. 공격자는 유출 된 Lockbit 및 Babuk Ransomware 페이로드의 브랜드 변형을 사용하지만 자체 사용자 정의 exfiltration 도구를 사용합니다.Buhti를 호출하는 비교적 새로운 랜섬웨어 운영은 자체 페이로드를 개발하는 것으로 보이며 유출 된 Lockbit 및 Babuk Ransomware 제품군의 변형을 사용하여 Windows 및 Linux 시스템을 공격합니다.
그룹은 자체 랜섬웨어를 개발하지는 않지만 지정된 파일 유형을 검색하고 보관하도록 설계된 정보 스틸러 인 사용자 정의 개발 도구 중 하나 인 것으로 보입니다.
2023 년 2 월에 처음으로 주목을받은 Buhti는 처음에 Linux 컴퓨터를 공격하는 것으로보고되었습니다.그러나 Symantec의 위협 사냥꾼 팀은 손상된 네트워크에서 Windows 컴퓨터를 공격하려는 시도를 발견했습니다.
이 그룹은 최근에 공개 된 취약점을 빠르게 악용하는 것으로 보이며, 최근의 공격은 최근에 패치 된 종이 컷 취약점을 이용했습니다.Buhti는 알려진 사이버 범죄 그룹과 연결되지 않았으므로 Symantec은 배우 이름 Blacktail을 운영자에게 할당했습니다.
Lockbit Rebrand
최근 Buhti 공격으로 공격자들은 대상 네트워크의 Windows 컴퓨터에 랜섬웨어 페이로드를 배포하려고 시도했습니다.페이로드의 분석에 따르면 유출 된 Lockbit 3.0 (일명 Lockbit Black) 랜섬웨어의 최소한 수정 된 버전이라는 것이 밝혀졌습니다.
암호화 된 파일은 .buthi 확장자와 함께 추가됩니다.몸값은 그림 1에서 볼 수 있습니다.
그림 1. Buhti Ransom 참고 랜섬웨어에는 Lockbit 브랜드 .BMP 파일을 삭제하는 기능이 포함되어 있습니다 (F.....

Open New Windows

Buhti : 새로운 랜섬웨어 운영은 용도로 다른 페이로드에 의존:
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/buhti-ransomware