Die Buhti-Ransomware-Gruppe nutzt derzeit den geleakten Code der Ransomware-Familien LockBit und Babuk aktiv aus, um Windows- und Linux-Systeme anzugreifen.
Die Hintermänner der Gruppe haben bei ihrer weltweiten Kampagne laut Erkenntnissen der Sicherheitsexperten von Kaspersky auch Organisationen in Deutschland und der Schweiz im Visier. Die Gefahr besteht darin, dass durch das von Buhti entwickelte Datenexfiltrationsprogramm betroffene Unternehmen erpresst werden – eine Taktik, die als „doppelte Erpressung“ bekannt ist.
Marc Rivero, Sicherheitsexperte beim Global Research & Analysis Team (GReAT) von Kaspersky, kommentiert die aktuellen Entwicklungen und Erkenntnisse zur Buhti-Gruppe wie folgt:
„Nach unseren Erkenntnissen hat es die Buhti-Gruppe, ein sich schnell entwickelnder Ransomware-Akteur, seit Anfang Februar 2023 aktiv auf Windows- und Linux-Systeme abgesehen. Im Gegensatz zu anderen Angreifern, die auf selbstentwickelte Payloads setzen, nutzen die Hintermänner dieser Operation ausschließlich Varianten der LockBit- und Babuk-Ransomware-Familien, die im Internet geleaked worden sind. Auch wenn die Buhti-Gruppe nicht in der Lage ist, eigenen Schadcode zu erstellen, haben die Akteure Zugriff auf ein speziell entwickeltes Tool – einen Information Stealer, der speziell für das Auffinden, die Suche, das Sammeln und die Archivierung bestimmter Dateien entwickelt wurde. Sowohl die für Windows als auch für Linux entwickelte Versionen des Stealers teilen eine unterschiedliche Codebasis untereinander.
Buhti zielt auf Organisationen in der ganzen Welt ab. Wir haben Betroffene in Deutschland, der Schweiz, Tschechien, China, Großbritannien, Äthiopien, den Vereinigten Staaten, Frankreich, Belgien, Indien, Estland und Spanien festgestellt.“