Un nouveau gang de rançongiciels Buhti.

5/5 - (7 votes)

Un nouveau gang de rançongiciels Buhti.

Le nouveau gang de rançongiciels Buhti utilise des fuites de chiffrement Windows et Linux.

Une nouvelle opération de ransomware nommée « Buhti » utilise le code divulgué des familles de ransomwares LockBit et Babuk pour cibler respectivement les systèmes Windows et Linux. Alors que les acteurs de la menace derrière Buhti, désormais suivis sous le nom de « Blacktail« , n’ont pas développé leur propre souche de ransomware, ils ont créé un utilitaire d’exfiltration de données personnalisé qu’ils utilisent pour faire chanter les victimes, une tactique connue sous le nom de « double extorsion« . Ce nouveau groupe utilise son propre outil d’exfiltration personnalisé et une stratégie d’infiltration réseau distincte. (Sources)


L'extorsion se caractérise par le chiffrement RSA par clé publique des données des victimes à l'aide de rançongiciels. Pour contrer l'extorsion, les entreprises mettent en oeuvre des systèmes de sauvegarde externes qui leur permettent de retrouver leurs données en cas de demande de rançon. Mais de plus en plus les pirates pratiquent l'exfiltration des données. La double extorsion réside dans la menace de mettre en ligne les données en cas de refus de paiement de la rançon. En 2019, le rançongiciel Maze représente le premier cas de ransomware double extorsion, suivi quelques mois plus tard du célèbre Sodinokibi.

Les codes des ransomwares Babuk et LockBit ont été publiés en ligne en septembre 2021 et septembre 2022, ce qui a donné naissance à plusieurs imitateurs. Symantec a déclaré « Bien que le groupe ne développe pas son propre ransomware, il utilise ce qui semble être un outil développé sur mesure, un voleur d’informations conçu pour rechercher et archiver des types de fichiers spécifiés« . Toujours selon Symantec « Alors que la réutilisation des charges utiles divulguées est souvent la marque d’une opération de ransomware moins qualifiée, la compétence générale de Blacktail dans la réalisation d’attaques, associée à sa capacité à reconnaître l’utilité des vulnérabilités nouvellement découvertes, suggère qu’elle ne doit pas être sous-estimée« .


Le ransomware LockBit est utilisé pour les attaques hautement ciblées à l'encontre d'entreprises et autres organismes. Dans le cadre d'une cyberattaque, les cybercriminels utilisant LockBit se démarquent en menaçant les entreprises du monde entier de la manière suivante : Perturbation des opérations avec arrêt soudain des fonctions essentielles. Extorsion de gains financiers au profit des cybercriminels. Vol de données et publication illégale avec chantage si la victime refuse d'obtempérer. Il existe plusieurs modèles de revenus et d'affaires différents pour le RaaS. Le RaaS est proposé sur la base d'un abonnement mensuel, sous forme de frais uniques ou par modèle d'affiliation. En juin 2023 et selon la CISA, le rançongiciel LockBit a extorqué 91 millions de dollars lors de 1 700 attaques aux États-Unis. "Astamirov est le troisième accusé inculpé par ce bureau dans la campagne mondiale de rançongiciel LockBit, et le deuxième accusé à être appréhendé", avait déclaré le procureur américain Philip R. Sellinger pour le district du New Jersey.


Les ransomwares, ou rançongiciels, représentent une menace informatique omniprésente, ils encryptent les fichiers d'un système, exigeant une rançon pour leur déchiffrement. Ces attaques sournoises paralysent souvent les entreprises et les particuliers, causant des pertes financières et de données critiques. Les cybercriminels utilisent diverses méthodes d'infiltration, telles que des e-mails de phishing et des vulnérabilités logicielles, pour propager leurs logiciels malveillants.

De nombreuses solutions de sécurité résidentes assurent une protection en temps réel contre les rançongiciels. Mais les gangs font régulièrement évoluer leur ransomwares pour contrer les clés de déchiffrement proposées. Certains rançongiciels comme le Raas babuk sont de véritables arnaques et ne donnent pas la clé de déchiffrement après la rançon payée. Généralement les experts en sécurité et les autorités judiciaires préconisent de ne pas payer la rançon demandée.

Les conséquences des ransomwares vont au-delà de la perte de données, affectant également la réputation et la confiance des victimes. La prévention, par le biais de mises à jour régulières, de la sensibilisation à la sécurité et de solutions de sauvegarde fiables, reste essentielle pour contrer cette menace croissante.


Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004. Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.

A propos de l'auteur

Retour en haut