Uma nova operação de ransomware, apelidada de Buhti, está usando o código-fonte vazado do criptografador do ransomware LockBit e Babuk.  Além disso, usa um ladrão de informações desenvolvido sob medida para exfiltrar dados.

A pesquisa sugere que este ransomware não está associado a nenhum grupo de ameaças existente.

Portanto, seu desenvolvedor está sendo rastreado como um novo grupo conhecido como Blacktail.

Ele usa uma versão modificada da variante LockBit 3.0, também conhecida como LockBit Black. O código-fonte do construtor Windows LockBit 3.0 vazou em setembro de 2022.

Embora agente de ameaças adapte seu criptografador de códigos-fonte vazados, ele não pode ser considerado um malware imitador.

Isso ocorre porque ele investiu um esforço significativo no desenvolvimento de sua ferramenta de exfiltração personalizada e táticas proativas de infiltração de rede.

A ferramenta de exfiltração, escrita em Golang, foi projetada para roubar arquivos, arquivá-los e enviá-los para um servidor controlado por invasores.

Para exfiltração de rede, ele abusa da vulnerabilidade recentemente corrigida CVE-2023-27350 no PaperCut NG e MF para atingir máquinas Windows e Linux. As amostras de malware detectadas em fevereiro exploraram a vulnerabilidade de desserialização CVE-2022-47986 no Aspera Faspex da IBM.