Buhti : 새로운 랜섬웨어 운영은 용도로 다른 페이로드에 의존 관련 IOC 31개 발견
Symantec Enterprise 블로그에서는 2023년 5월 25일에 새로운 랜섬웨어 운영인 Buhti가 소개되었다고 보고했습니다. Buhti는 유출된 Lockbit 및 Babuk Ransomware 페이로드의 브랜드 변형을 사용하지만 자체 사용자 정의 exfiltration 도구를 사용합니다. 그룹은 자체 랜섬웨어를 개발하지는 않지만 지정된 파일 유형을 검색하고 보관하도록 설계된 정보 스틸러 인 사용자 정의 개발 도구를 사용합니다. 그룹은 최근에 공개된 취약점을 빠르게 악용하며 최근의 공격은 최근에 패치 된 종이 컷 취약점을 이용했습니다. Symantec은 배우 이름 Blacktail을 운영자에게 할당했다.
2023년 5월 25일에 Symantec Enterprise 블로그에서 새로운 랜섬웨어 운영인 Buhti가 보고되었습니다. Buhti는 유출된 Lockbit 및 Babuk Ransomware 페이로드의 브랜드 변형을 사용하며, 자체 사용자 정의 exfiltration 도구를 사용합니다. 그룹은 자체 랜섬웨어를 개발하지 않고, 지정된 파일 유형을 검색하고 보관하도록 설계된 정보 스틸러 인 사용자 정의 개발 도구를 사용합니다. 그룹은 최근에 공개된 취약점을 악용하며, 최근의 공격은 최근에 패치된
Symantec
Buhti: New Ransomware Operation Relies on Repurposed Payloads
The Symantec Enterprise blog reported that the new ransomware operation, BUHTI, was introduced on May 25, 2023.Buhti uses the leaked LOCKBIT and BABUK Ransomware Payroads, but uses its own custom Exfiltration tool.The group uses a custom development tool, which is designed to search and store specified file types, but not develop its own ransomware.The group quickly exploited the recently released vulnerabilities, and the recent attack used the recently patched paper cut vulnerabilities.Symantec assigned the actor name Blacktail to the operator.
On May 25, 2023, the new ransomware operating BUHTI was reported on the Symantec Enterprise blog.Buhti uses the leaked Lockbit and Babuk Ransomware Payroads, and uses its own custom Exfiltration tool.The group does not develop its own ransomware, but uses a custom development tool, which is designed to search and store the specified file type.The group exploits recently released vulnerabilities, and the recent attack is recently patched.
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/buhti-ransomware