Buhti Ransomware IOCs

ransomware IOC
Опубликовано

Злоумышленники используют ребрендированные варианты полезных нагрузок просочившихся в сеть программ LockBit и Babuk ransomware, но применяют собственный инструмент эксфильтрации.

Относительно новая группировка, называющая себя Buhti, похоже, отказалась от разработки собственной полезной нагрузки и использует для атак на системы Windows и Linux варианты утекших семейств программ LockBit и Babuk ransomware.

Хотя группа не разрабатывает собственные программы-вымогатели, она использует, по-видимому, один инструмент, разработанный специально для нее, - программу для кражи информации, предназначенную для поиска и архивирования файлов определенных типов.

Buhti, которая впервые стала известна общественности в феврале 2023 года, первоначально сообщалось, что она атакует компьютеры под управлением Linux. Однако команда Threat Hunter Team компании Symantec также обнаружила попытки атаковать компьютеры Windows во взломанных сетях.

Похоже, что группа быстро использует недавно раскрытые уязвимости, а одна из последних атак использовала недавно исправленную уязвимость PaperCut. Поскольку Buhti не был связан с какой-либо известной киберпреступной группой, Symantec присвоил его операторам имя Blacktail.

Indicators of Compromise

IPv4

  • 81.161.229.120
  • 91.215.85.183

SHA256

  • 01b09b554c30675cc83d4b087b31f980ba14e9143d387954df484894115f82d4
  • 063fcedd3089e3cea8a7e07665ae033ba765b51a6dc1e7f54dde66a79c67e1e7
  • 18a79c8a97dcfff57e4984aa7e74aa6ded22af8e485e807b34b7654d6cf69eef
  • 22e74756935a2720eadacf03dc8fe5e7579f354a6494734e2183095804ef19fe
  • 287c07d78cafc97fb4b7ef364a228b708d31e8fe8e9b144f7db7d986a1badd52
  • 32e815ef045a0975be2372b85449b25bd7a7c5a497c3facc2b54bcffcbb0041c
  • 4dc407b28474c0b90f0c5173de5c4f1082c827864f045c4571890d967eadd880
  • 515777b87d723ebd6ffd5b755d848bb7d7eb50fc85b038cf25d69ca7733bd855
  • 5b3627910fe135475e48fd9e0e89e5ad958d3d500a0b1b5917f592dc6503ee72
  • 65c91e22f5ce3133af93b69d8ce43de6b6ccac98fc8841fd485d74d30c2dbe7b
  • 7eabd3ba288284403a9e041a82478d4b6490bc4b333d839cc73fa665b211982c
  • 8041b82b8d0a4b93327bc8f0b71672b0e8f300dc7849d78bb2d72e2e0f147334
  • 898d57b312603f091ff1a28cb2514a05bd9f0eb55ace5d6158cc118d1e37070a
  • 8b2cf6af49fc3fb1f33e94ad02bd9e43c3c62ba2cfd25ff3dfc7a29dde2b20f2
  • 8b5c261a2fdaf9637dada7472b1b5dd1d340a47a00fe7c39a79cf836ef77e441
  • 97378d58815a1b87f07beefb24b40c5fb57f8cce649136ff57990b957aa9d56a
  • 9b8adde838c8ea2479b444ed0bb8c53b7e01e7460934a6f2e797de58c3a6a8bf
  • 9f0c35cc7aab2984d88490afdb515418306146ca72f49edbfbd85244e63cfabd
  • bdfac069017d9126b1ad661febfab7eb1b8e70af1186a93cb4aff93911183f24
  • c33e56318e574c97521d14d68d24b882ffb0ed65d96203970b482d8b2c332351
  • ca6abfa37f92f45e1a69161f5686f719aaa95d82ad953d6201b0531fb07f0937
  • d259be8dc016d8a2d9b89dbd7106e22a1df2164d84f80986baba5e9a51ed4a65
  • d59df9c859ccd76c321d03702f0914debbadc036e168e677c57b9dcc16e980cb
  • d65225dc56d8ff0ea2205829c21b5803fcb03dc57a7e9da5062cbd74e1a6b7d6
  • de052ce06fea7ae3d711654bc182d765a3f440d2630e700e642811c89491df72
  • e5d65e826b5379ca47a371505678bca6071f2538f98b5fef9e33b45da9c06206
  • eda0328bfd45d85f4db5dbb4340f38692175a063b7321b49b2c8ebae3ab2868c
Похожие записи:
  1. Exmatter IOCs
  2. BlackByte Ransomware IOCs - Part 5
  3. Play Ransomware IOCs - Part 2
  4. Злоумышленники эксплуатируют CVE-2023-27350 в PaperCut MF и NG
  5. LokiLocker Ransomware IOC
Blacktail Buhti CVE-2023-27350 Meterpreter Ransomware Symantec
Добавить комментарий