Buhti Ransomware
Buhti es una amenaza de ransomware que se dirige a los sistemas Windows y Linux. Al atacar computadoras con Windows, la carga útil de Buhti Ransomware se basa en una variante del LockBit 3.0 Ransomware filtrado anteriormente, con modificaciones menores. Aún así, cuando se usa para infectar sistemas Linux, el Buhti Ransomware emplea una versión modificada del Babuk Ransomware filtrado.
La forma en que funciona Buhti es encriptando archivos y reemplazando sus nombres de archivo originales con una cadena de caracteres aleatorios. Además, el ransomware agrega la identificación de la víctima como la nueva extensión para cada archivo encriptado. Para comunicarse con las víctimas, Buhti deja una nota de rescate nombrada en forma de archivo de texto llamado '[ID_de_la_víctima].README.txt'.
El Buhti Ransomware bloquea una amplia gama de tipos de archivos
La nota de rescate proporciona una explicación detallada a las víctimas sobre el cifrado de sus archivos utilizando algoritmos de cifrado robustos, lo que les hace prácticamente imposible descifrar los datos de forma independiente. Sin embargo, la nota establece que las víctimas pueden restaurar sus datos pagando un rescate a los atacantes como una forma de comprar un programa especializado conocido como 'descifrador'. Los actores de amenazas aseguran a sus víctimas que este software de descifrado se ha sometido a pruebas exhaustivas y restaurará efectivamente sus datos una vez que se implemente con éxito.
Para establecer contacto con los ciberdelincuentes, la nota instruye a las víctimas a utilizar un navegador web y navegar a un sitio web específico. Una vez allí, se les solicita que ingresen una dirección de correo electrónico válida para obtener un enlace de descarga después de completar el proceso de pago. El pago, según lo estipulado en la nota, debe realizarse con Bitcoin y dirigirse a una dirección de Bitcoin proporcionada.
Al completar el pago, las víctimas recibirán un correo electrónico que incluye un enlace a la página de descarga. Esta página incluye instrucciones completas sobre cómo proceder con el proceso de descifrado. La nota de rescate enfatiza enfáticamente los riesgos potenciales asociados con intentar modificar o recuperar los archivos de forma independiente, ya que afirma que tales acciones no darán como resultado una restauración exitosa.
Además de cifrar archivos, Buhti posee la capacidad de recibir instrucciones de línea de comandos que especifican directorios de destino particulares dentro del sistema de archivos. Además, emplea una herramienta de exfiltración que se enfoca principalmente en robar ciertos tipos de archivos, incluidos aiff, aspx, docx, epub, json, mpeg, pdf, php, png, ppt, pptx, psd, rar, raw, rtf, sql, svg , swf, tar, txt, wav, wma, wmv, xls, xlsx, xml, yaml y yml.
Los usuarios y las organizaciones necesitan proteger sus datos de las infecciones de ransomware
Para proteger sus datos y dispositivos de infecciones de ransomware, tanto los usuarios como las organizaciones pueden adoptar varias medidas proactivas. En primer lugar, es crucial mantener una estrategia de copia de seguridad sólida. Hacer copias de seguridad de los archivos necesarios con regularidad y almacenarlos sin conexión o en un servicio seguro de almacenamiento en la nube garantiza que, incluso si los archivos originales están cifrados por ransomware, el usuario puede restaurarlos desde una copia de seguridad limpia.
Otro paso fundamental es mantener todo el software y los sistemas operativos actualizados. La aplicación oportuna de parches y actualizaciones de seguridad ayuda a protegerse contra las vulnerabilidades conocidas que puede explotar el ransomware. Esto abarca no solo el sistema operativo, sino también aplicaciones, complementos y software antivirus.
El uso de software antimalware profesional agrega una capa adicional de defensa. Estas soluciones de seguridad pueden detectar y bloquear cepas de ransomware conocidas y actividades inseguras, ofreciendo protección en tiempo real contra amenazas potenciales.
Implementar contraseñas seguras y únicas para todas las cuentas y habilitar la autenticación multifactor (MFA) cuando sea posible ayuda a mitigar el riesgo de acceso no autorizado a dispositivos e información confidencial. Cambiar regularmente las contraseñas y evitar la reutilización de contraseñas en varias cuentas son prácticas vitales a seguir.
Informarse sobre técnicas de phishing y tácticas de ingeniería social permite a los usuarios reconocer y evitar posibles métodos de entrega de ransomware. Ser cauteloso con las solicitudes inesperadas o no solicitadas de información personal, detalles financieros o credenciales de inicio de sesión puede ayudar a evitar ser víctima de intentos de phishing.
Por último, es esencial mantener un enfoque proactivo y vigilante de la ciberseguridad. Mantenerse informado sobre las últimas amenazas de ransomware, las mejores prácticas de seguridad y las tendencias emergentes puede ayudar a los usuarios a adaptar sus defensas en consecuencia y responder de manera efectiva a los riesgos potenciales.
En general, proteger los datos y los dispositivos de las infecciones de ransomware requiere una combinación de medidas preventivas, conciencia y diligencia continua para estar un paso por delante de las amenazas en evolución.
La nota de rescate dejada por Buhti Ransomware a sus víctimas es:
'----------- [ Bienvenido a buhtiRansom ] ------------->
¿Lo que pasó?
Sus archivos están encriptados. Utilizamos algoritmos de encriptación sólidos, por lo que no puede desencriptar sus datos.
Pero puede restaurar todo comprándonos un programa especial: descifrador universal. Este programa restaurará todos sus archivos.
Siga nuestras instrucciones a continuación y recuperará todos sus datos.¿Qué garantías?
Valoramos nuestra reputación. Si no hacemos nuestro trabajo y obligaciones, nadie nos pagará. Esto no está en nuestros intereses.
Todo nuestro software de descifrado está perfectamente probado y descifrará sus datos.¿Cómo obtener acceso?
Usando un navegador:
Abrir sitio web: hxxps://satoshidisk.com/pay/CIGsph
Ingrese un correo electrónico válido para recibir el enlace de descarga después del pago.
Pague el monto a la dirección de Bitcoin.
Reciba un enlace por correo electrónico a la página de descarga.
Instrucciones de descifrado incluidas.!!! PELIGRO !!!
NO MODIFIQUE ni intente RECUPERAR ningún archivo usted mismo. NO SE PODRÁ RESTAURAR.
!!! PELIGRO !!!'
