Für eine aktuelle weltweiten Kampagne nutzt die Ransomware-Gruppe Buhti laut Erkenntnissen von Experten des Cyber-Sicherheitsanbieters Kaspersky geleakten Code der Ransomware-Familien LockBit und Babuk. [1] Die Gruppe scheint selbst keine neue derartige Malware schreiben zu können, nutzt aber ein selbstentwickeltes Programm zur Datenexfiltration, um betroffene Unternehmen besonders perfide zu erpressen – mit einer Taktik, die auch als „doppelte Erpressung“ bekannt ist. Buhti attackiert damit Organisationen in der ganzen Welt; Experten haben Vorfälle in Deutschland, Spanien, Frankreich, Belgien, Estland, Tschechien, der Schweiz, China, Indien, Großbritannien und den Vereinigten Staaten bestätigt.
„Nach unseren Erkenntnissen hat es die Buhti-Gruppe, ein sich schnell entwickelnder Ransomware-Akteur, seit Anfang Februar 2023 aktiv auf Windows- und Linux-Systeme abgesehen“, so Marc Rivero, Sicherheitsexperte beim globalen Analyseteam von Kaspersky. „Im Gegensatz zu anderen Angreifern, die auf selbstentwickelte Payloads setzen, nutzen die Hintermänner dieser Operation ausschließlich Varianten der LockBit- und Babuk-Ransomware-Familien, die im Internet geleaked worden sind. Auch wenn die Buhti-Gruppe nicht in der Lage ist, eigenen Schadcode zu erstellen, haben die Akteure Zugriff auf ein speziell entwickeltes Tool – einen Information Stealer, der speziell für das Auffinden, die Suche, das Sammeln und die Archivierung bestimmter Dateien entwickelt wurde.“
