Así es Buhti, el nuevo ransomware que ataca en España a sistemas Windows y Linux

  • Actualidad
ransomware cifrado generica

Buhti fue detectado por primera vez en febrero de 2023 por el equipo de la Unit 42 de Palo Alto Networks, que lo identificó como un ransomware basado en Go para Linux. Los datos que aporta Kaspersky son que esta amenaza usa código filtrado de las familias de ransomware LockBit y Babuk para vulnerar ambos sistemas operativos. Los ciberdelincuentes no han desarrollado su propia cepa de ransomware, pero han creado una utilidad de filtración de datos personalizada para chantajear a las víctimas.

Blacktail, la recientemente descubierta banda de ransomware, ha atacado sistemas Windows y Linux en todo el mundo, incluyendo España, con el ransomware Buthi. La amenaza se vale de código filtrado de las familias de ransomware LockBit y Babuk para vulnerar ambos sistemas operativos y utiliza la técnica denominada como 'doble extorsión' para chantajear a las víctimas. Esta técnica consiste en robar los datos de la víctima y pedir un rescate por ellos. Si la cantidad no es satisfecha o no se abona a tiempo (e incluso aunque se realice el pago en tiempo y forma) los ciberdelincuentes publican parte de los datos sustraídos y reclaman posteriormente una cantidad mayor.

Cuando el ataque tiene éxito, el fondo de pantalla del ordenador cambia, y se pide a la víctima que abra la petición de rescate. Todos los archivos encriptados pasan a tener la extensión ‘.buthi’.

Buhti se dirige a organizaciones de todo el mundo. En concreto, los expertos de Kaspersky han observado ataques en España, República Checa, China, Reino Unido, Etiopía, Estados Unidos, Francia y Bélgica.

Según Marc Rivero, Senior Security Researcher de Kaspersky, “aunque carecen de capacidad para crear su propio código malicioso, los ciberdelincuentes detrás de Buhti sí tienen acceso a una herramienta desarrollada a medida: un ladrón de información diseñado para buscar y almacenar archivos específicos. Tanto la versión de Windows como la de Linux comparten un código base diferente".

A pesar de que los grupos que se dedican a reutilizar código no son considerados como expertos, Blacktail utiliza su propia herramienta de filtración, completamente personalizada, y una estrategia de infiltración en la red distinta.

Consejos de protección frente al ransomware

-- Hacer copias de seguridad regularmente y almacenar la información en dispositivos no conectados a la red corporativa. Esto la mantendrá a salvo si se produce un ciberataque.

-- Actualizar de manera periódica el sistema operativo y las aplicaciones.

-- Utilizar contraseñas seguras para acceder a los servicios corporativos y activar la autenticación de doble factor al acceder a servicios en remoto.

-- Hablar con los empleados sobre cómo se producen los ciberataques: correos electrónicos, webs o archivos descargados de fuentes de terceros son importantes vectores de ataque. Es importante formar a la plantilla y realizar pruebas controladas para identificar amenazas.

-- Usar servicios y soluciones de ciberseguridad para identificar y detener ataques en fase inicial, antes de que los ciberatacantes consigan sus objetivos.