Buhti se dirige a empresas de todo el mundo

Buhti, el nuevo ransomware que ataca en España a sistemas Windows y Linux

©BigStock

Actualizado 23 | 06 | 2023 11:53

Buhti ransomware

Esta nueva amenaza usa código filtrado de las familias de ransomware LockBit y Babuk para vulnerar ambos sistemas operativos. Los ciberdelincuentes no han desarrollado su propia cepa de ransomware, pero han creado una utilidad de filtración de datos personalizada para chantajear a las víctimas, táctica denominada como ‘doble extorsión’.

Blacktail, la recientemente descubierta banda de ransomware, ha atacado sistemas Windows y Linux en todo el mundo, incluyendo España, con el ransomware Buhti. La amenaza fue detectada por primera vez en febrero de 2023 por el equipo de la Unidad 42 de Palo Alto Networks, que lo identificó como un ransomware basado en Go para Linux, tal y como ha informado BleepingComputer.

Esta amenaza se vale de código filtrado de las familias de ransomware LockBit y Babuk para vulnerar ambos sistemas operativos y utiliza la técnica denominada como ‘doble extorsión’ para chantajear a las víctimas. Esta técnica consiste en robar los datos de la víctima y pedir un rescate por ellos. Si la cantidad no es satisfecha o no se abona a tiempo -e incluso aunque se realice el pago en tiempo y forma- los ciberdelincuentes publican parte de los datos sustraídos y reclaman posteriormente una cantidad mayor.

Cuando el ataque tiene éxito, el fondo de pantalla del ordenador cambia, y se pide a la víctima que abra la petición de rescate. Todos los archivos encriptados pasan a tener la extensión ‘.buthi’.

Buhti se dirige a organizaciones de todo el mundo. En concreto, los expertos de Kaspersky han observado ataques en España, República Checa, China, Reino Unido, Etiopía, Estados Unidos, Francia y Bélgica.

«Según las observaciones de Kaspersky, Buhti ha estado atacando activamente sistemas Windows y Linux, algunos de ellos en España, desde principios de febrero de 2023. A diferencia de otros ciberataques que dependen del desarrollo de sus propias cargas útiles, este grupo utiliza exclusivamente variantes de las familias de ransomware LockBit y Babuk filtradas online», explica Marc Rivero, Senior Security Researcher de Kaspersky. “Aunque carecen de capacidad para crear su propio código malicioso, los ciberdelincuentes detrás de Buhti sí tienen acceso a una herramienta desarrollada a medida: un ladrón de información diseñado para buscar y almacenar archivos específicos. Tanto la versión de Windows como la de Linux comparten un código base diferente», concluye.

A pesar de que los grupos que se dedican a reutilizar código no son considerados como expertos, Blacktail utiliza su propia herramienta de filtración, completamente personalizada, y una estrategia de infiltración en la red distinta.

Para mantener empresas y negocios protegidos frente al ransomware, los expertos recomiendan:

  • Hacer copias de seguridad regularmente y almacenar la información en dispositivos no conectados a la red corporativa. Esto la mantendrá a salvo si se produce un ciberataque.
  • Actualizar de manera periódica el sistema operativo y las aplicaciones.
  • Utilizar contraseñas seguras para acceder a los servicios corporativos y activar la autenticación de doble factor al acceder a servicios en remoto.
  • Hablar con los empleados sobre cómo se producen los ciberataques: correos electrónicos, webs o archivos descargados de fuentes de terceros son importantes vectores de ataque. Es importante formar a la plantilla y realizar pruebas controladas para identificar amenazas.
  • Usar servicios y soluciones de ciberseguridad para identificar y detener ataques en fase inicial, antes de que los ciberatacantes consigan sus objetivos.

Más información

Etiquetas BuhtiRansomware

Cargando noticia...