Buhti-ransomware

Buhti is een ransomware-bedreiging die zich richt op zowel Windows- als Linux-systemen. Bij het aanvallen van Windows-computers is de Buhti Ransomware-payload gebaseerd op een variant van de eerder gelekte LockBit 3.0 Ransomware , met kleine aanpassingen. Maar wanneer het wordt gebruikt om Linux-systemen te infecteren, gebruikt de Buhti Ransomware een aangepaste versie van de gelekte Babuk Ransomware .

De manier waarop Buhti werkt, is door bestanden te versleutelen en hun oorspronkelijke bestandsnamen te vervangen door een reeks willekeurige tekens. Bovendien voegt de ransomware de ID van het slachtoffer toe als de nieuwe extensie voor elk versleuteld bestand. Om met de slachtoffers te communiceren, laat Buhti een losgeldbrief achter met de naam in de vorm van een tekstbestand met de naam '[victim's_ID].README.txt.'

De Buhti Ransomware vergrendelt een breed scala aan bestandstypen

De losgeldbrief geeft de slachtoffers een gedetailleerde uitleg over de versleuteling van hun bestanden met behulp van robuuste versleutelingsalgoritmen, waardoor het voor hen vrijwel onmogelijk wordt om de gegevens zelfstandig te ontsleutelen. In de notitie staat echter dat slachtoffers hun gegevens kunnen herstellen door losgeld te betalen aan de aanvallers als een manier om een gespecialiseerd programma te kopen dat bekend staat als een 'decryptor'. De bedreigingsactoren verzekeren hun slachtoffers dat deze decoderingssoftware grondig is getest en hun gegevens effectief zal herstellen na succesvolle implementatie.

Om contact te leggen met de cybercriminelen, instrueert de notitie de slachtoffers om een webbrowser te gebruiken en naar een specifieke website te navigeren. Eenmaal daar, worden ze gevraagd een geldig e-mailadres in te voeren om een downloadlink te krijgen na het voltooien van het betalingsproces. De betaling, zoals bepaald in de notitie, moet worden gedaan met behulp van Bitcoin en worden doorgestuurd naar een opgegeven Bitcoin-adres.

Na voltooiing van de betaling ontvangen de slachtoffers een e-mail met een link naar de downloadpagina. Deze pagina bevat uitgebreide instructies over hoe verder te gaan met het decoderingsproces. De losgeldbrief legt sterk de nadruk op de potentiële risico's die gepaard gaan met pogingen om de bestanden onafhankelijk te wijzigen of te herstellen, omdat wordt beweerd dat dergelijke acties niet zullen resulteren in een succesvol herstel.

Naast het versleutelen van bestanden, beschikt Buhti over de mogelijkheid om opdrachtregelinstructies te ontvangen die bepaalde doelmappen binnen het bestandssysteem specificeren. Bovendien maakt het gebruik van een exfiltratietool die zich voornamelijk richt op het stelen van bepaalde bestandstypen, waaronder aiff, aspx, docx, epub, json, mpeg, pdf, php, png, ppt, pptx, psd, rar, raw, rtf, sql, svg , swf, tar, txt, wav, wma, wmv, xls, xlsx, xml, yaml en yml.

Gebruikers en organisaties moeten hun gegevens beschermen tegen ransomware-infecties

Om hun gegevens en apparaten te beschermen tegen ransomware-infecties, kunnen zowel gebruikers als organisaties verschillende proactieve maatregelen nemen. Eerst en vooral is het handhaven van een robuuste back-upstrategie cruciaal. Door regelmatig een back-up te maken van de benodigde bestanden en deze offline of in een veilige cloudopslagservice op te slaan, zorgt u ervoor dat zelfs als de originele bestanden zijn versleuteld door ransomware, de gebruiker ze kan herstellen vanaf een schone back-up.

Een andere fundamentele stap is om alle software en besturingssystemen up-to-date te houden. Het toepassen van tijdige beveiligingspatches en updates helpt beschermen tegen bekende kwetsbaarheden die ransomware kan misbruiken. Dit omvat niet alleen het besturingssysteem, maar ook applicaties, plug-ins en antivirussoftware.

Het gebruik van professionele antimalwaresoftware voegt een extra verdedigingslaag toe. Deze beveiligingsoplossingen kunnen bekende soorten ransomware en onveilige activiteiten detecteren en blokkeren, en bieden realtime bescherming tegen potentiële bedreigingen.

Door sterke en unieke wachtwoorden voor alle accounts te implementeren en waar mogelijk multi-factor authenticatie (MFA) in te schakelen, wordt het risico van ongeautoriseerde toegang tot apparaten en gevoelige informatie beperkt. Het regelmatig wijzigen van wachtwoorden en het vermijden van hergebruik van wachtwoorden voor meerdere accounts zijn essentiële praktijken om te volgen.

Zichzelf informeren over phishing-technieken en social engineering-tactieken stelt gebruikers in staat potentiële manieren om ransomware te leveren te herkennen en te vermijden. Voorzichtig zijn met onverwachte of ongevraagde verzoeken om persoonlijke informatie, financiële gegevens of inloggegevens kan helpen voorkomen dat u het slachtoffer wordt van phishingpogingen.

Ten slotte is het essentieel om proactief en waakzaam om te gaan met cyberbeveiliging. Door op de hoogte te blijven van de nieuwste ransomware-bedreigingen, best practices op het gebied van beveiliging en opkomende trends, kunnen gebruikers hun verdediging dienovereenkomstig aanpassen en effectief reageren op potentiële risico's.

Over het algemeen vereist het beschermen van gegevens en apparaten tegen ransomware-infecties een combinatie van preventieve maatregelen, bewustzijn en voortdurende toewijding om evoluerende bedreigingen een stap voor te blijven.

Het losgeldbriefje dat Buhti Ransomware aan zijn slachtoffers heeft achtergelaten, is:

'----------- [ Welkom bij buhtiRansom ] ------------>

Wat gebeurde er?

Uw bestanden zijn versleuteld. We gebruiken sterke versleutelingsalgoritmen, zodat u uw gegevens niet kunt ontsleutelen.
Maar u kunt alles herstellen door een speciaal programma bij ons te kopen - universele decryptor. Dit programma herstelt al uw bestanden.
Volg onze onderstaande instructies en u zult al uw gegevens herstellen.

Welke garanties?

We hechten veel waarde aan onze reputatie. Als we ons werk en onze verplichtingen niet doen, zal niemand ons betalen. Dit is niet in ons belang.
Al onze decoderingssoftware is perfect getest en zal uw gegevens decoderen.

Hoe toegang krijgen?

Een browser gebruiken:
Open website: hxxps://satoshidisk.com/pay/CIGsph
Voer een geldig e-mailadres in om na betaling een downloadlink te ontvangen.
Betaal bedrag naar Bitcoin-adres.
Ontvang een e-maillink naar de downloadpagina.
Decoderingsinstructie inbegrepen.

!!! GEVAAR !!!
WIJZIG GEEN bestanden en probeer ze NIET zelf te HERSTELLEN. Het zal NIET kunnen HERSTELLEN.
!!! GEVAAR !!!'