Une nouvelle campagne de ransomware, Buhti, utilise du code des groupes LockBit et Babuk ayant fuité pour cibler des systèmes Windows et Linux, respectivement. Marc Rivero, chercheur principale en cybersécurité au GReAT de Kaspersky, commente l’émergence de ce nouvel acteur dans le paysage des menaces.
« D’après les observations de Kaspersky, Buhti, un ransomware en pleine expansion, cible activement les systèmes Windows et Linux depuis le début du mois de février 2023. Contrairement à d’autres campagnes de cyberattaques qui reposent sur le développement de leurs propres charges utiles, Buhti utilise exclusivement des variantes des familles de ransomwares LockBit et Babuk, qui ont fait l’objet de fuites en ligne. Bien qu’ils n’aient pas la capacité de créer leur propre code malveillant, les opérateurs de Buhti ont accès à un outil développé sur mesure, un infostealer conçu pour rechercher et archiver des fichiers spécifiques. Les versions utilisées pour cibler Windows et Linux partagent toutes deux une base de code différente.
Buhti cible des organisations dans le monde entier. Les experts de Kaspersky ont constaté des attaques en Tchécoslovaquie, en Chine, au Royaume-Uni, en Éthiopie, aux États-Unis, en France, en Belgique, en Inde, en Estonie, en Allemagne, en Espagne et en Suisse.»