Buhti Ransomware richt zich op slachtoffers die zowel Windows als Linux gebruiken

Buhti is een type ransomware dat zich richt op zowel Windows- als Linux-systemen. Hoewel de payload van de Buhti-ransomware zich voornamelijk richt op Windows-computers en een variant is van de eerder gelekte LockBit 3.0-ransomware met enkele kleine aanpassingen, heeft het ook een aangepaste versie die speciaal is ontworpen om Linux-systemen aan te vallen, gebruikmakend van de gelekte Babuk-ransomware.

Wanneer Buhti een systeem infecteert, versleutelt het bestanden en vervangt het hun oorspronkelijke bestandsnamen door een reeks willekeurige tekens. Bovendien wordt de ID van het slachtoffer toegevoegd als de nieuwe extensie voor elk versleuteld bestand. Een bestand dat oorspronkelijk "1.jpg" heette, zou bijvoorbeeld worden omgezet in "4G8of7O.fxkJts2wg", terwijl "2.png" zou worden "HePwiFM.fxkJts2wg", enzovoort. Naast dit versleutelingsproces laat Buhti ook een losgeldbrief achter met de naam "[victim's_ID].README.txt".

In de losgeldbrief wordt uitgelegd dat de bestanden van het slachtoffer zijn versleuteld met behulp van robuuste versleutelingsalgoritmen, waardoor het voor hen vrijwel onmogelijk is om de gegevens onafhankelijk te ontsleutelen. De notitie beweert echter dat er een oplossing beschikbaar is voor de slachtoffers om hun bestanden te herstellen door een speciaal programma te kopen dat bekend staat als een decryptor. De losers verzekeren de slachtoffers dat deze decoderingssoftware grondig is getest en hun gegevens met succes zal herstellen.

Om weer toegang te krijgen tot hun versleutelde bestanden, instrueert de notitie de slachtoffers om een webbrowser te gebruiken en een specifieke website te bezoeken. Ze worden vervolgens gevraagd om een geldig e-mailadres in te voeren, dat zal worden gebruikt om een downloadlink voor de decryptor te ontvangen nadat de betaling is gedaan. Het losgeld wordt gevraagd in Bitcoin en de slachtoffers krijgen een specifiek Bitcoin-adres voor de transactie.

Zodra de betaling is voltooid, ontvangen de slachtoffers een e-mail met een link naar een downloadpagina. Deze pagina bevat gedetailleerde instructies over het gebruik van de decryptor om hun bestanden te herstellen. De losgeldbrief benadrukt de potentiële risico's van het onafhankelijk wijzigen of proberen de bestanden te herstellen, waarbij wordt beweerd dat dergelijke acties niet zullen leiden tot een succesvol herstel van de versleutelde gegevens.

Buhti Ransom Note vraagt om Bitcoin-betaling

De volledige tekst van de losgeldbrief van Buhti luidt als volgt:

Welkom bij buhtiRansom

Wat gebeurde er?

Uw bestanden zijn versleuteld. We gebruiken sterke versleutelingsalgoritmen, zodat u uw gegevens niet kunt ontsleutelen.
Maar u kunt alles herstellen door een speciaal programma bij ons te kopen - universele decryptor. Dit programma herstelt al uw bestanden.
Volg onze onderstaande instructies en u zult al uw gegevens herstellen.

Welke garanties?

We hechten veel waarde aan onze reputatie. Als we ons werk en onze verplichtingen niet doen, zal niemand ons betalen. Dit is niet in ons belang.
Al onze decoderingssoftware is perfect getest en zal uw gegevens decoderen.

Hoe toegang krijgen?

Een browser gebruiken:
1) Open website: hxxps://satoshidisk.com/pay/CIGsph
2) Voer een geldig e-mailadres in om na betaling een downloadlink te ontvangen.
3) Betaal het bedrag op het Bitcoin-adres.
4) Ontvang een e-maillink naar de downloadpagina.
5) Inclusief decoderingsinstructie.

!!! GEVAAR !!!
WIJZIG GEEN bestanden en probeer ze NIET zelf te HERSTELLEN. Het zal NIET kunnen HERSTELLEN.
!!! GEVAAR !!!

Hoe wordt ransomware zoals Buhti online verspreid?

Ransomware zoals Buhti wordt meestal online verspreid via verschillende methoden, waarbij kwetsbaarheden worden uitgebuit en social engineering-tactieken worden toegepast. Hier zijn enkele algemene distributiekanalen en technieken die worden gebruikt door ransomware zoals Buhti:

  • Phishing-e-mails: een veelgebruikte methode is via phishing-e-mails. Aanvallers sturen misleidende e-mails die legitiem lijken, waarbij ze zich vaak voordoen als vertrouwde organisaties of individuen. Deze e-mails kunnen geïnfecteerde bijlagen bevatten, zoals schadelijke uitvoerbare bestanden of documenten die zijn ingesloten met macromalware. Het openen van deze bijlagen activeert het installatieproces van de ransomware.
  • Kwaadaardige websites en drive-by downloads: Cybercriminelen kunnen kwaadaardige websites maken of legitieme websites binnendringen om ransomware te verspreiden. Nietsvermoedende gebruikers kunnen de ransomware onbewust downloaden door deze sites te bezoeken of op gecompromitteerde links te klikken. Drive-by-downloads vinden plaats wanneer malware automatisch wordt gedownload zonder toestemming of medeweten van de gebruiker.
  • Exploitkits: Ransomware kan worden geleverd met behulp van exploitkits, dit zijn toolkits die misbruik maken van kwetsbaarheden in software of webbrowsers. Wanneer een gebruiker een gecompromitteerde website bezoekt of op een schadelijke advertentie klikt, scant de exploitkit op kwetsbaarheden en levert de ransomware-payload.
  • Remote Desktop Protocol (RDP)-aanvallen: aanvallers richten zich op systemen met blootgestelde of zwak beveiligde Remote Desktop Protocol-verbindingen. Ze gebruiken brute force-aanvallen om ongeoorloofde toegang tot het systeem te krijgen en ransomware te installeren.
  • Kwaadaardige advertenties (Malvertising): Kwaadaardige advertenties, of malvertisements, zijn te vinden op legitieme websites en advertentienetwerken. Deze advertenties bevatten verborgen scripts die gebruikers omleiden naar websites die ransomware hosten of automatische downloads activeren.
  • Netwerken voor het delen van bestanden en illegale software: Illegale of gekraakte software die is gedownload van netwerken voor het delen van bestanden, wordt vaak gebundeld met ransomware of andere malware. Gebruikers die software of media willen verkrijgen zonder te betalen, lopen het risico onbedoeld ransomware te installeren.
  • Softwarekwetsbaarheden uitbuiten: Ransomware-auteurs maken misbruik van kwetsbaarheden in besturingssystemen, applicaties of netwerkdiensten. Door zich te richten op niet-gepatchte of verouderde software, kunnen ze ongeoorloofde toegang krijgen en de ransomware-payload inzetten.

Het is van cruciaal belang om up-to-date beveiligingssoftware te onderhouden, regelmatig softwarepatches en -updates toe te passen, voorzichtig te zijn bij het openen van e-mailbijlagen of het klikken op verdachte links, en sterke, unieke wachtwoorden te gebruiken om het risico om het slachtoffer te worden van ransomware-aanvallen te minimaliseren.

Tegen Zaib
May 29, 2023
Ransomware
Nederlands
May 29, 2023
Ransomware

Populaire posts

Microsoft waarschuwt dat door de staat gesteunde...

5 days geleden

Trojan Al11 malwaredetectie

11 months geleden

Pop-ups "Uw iCloud wordt gehackt" en "Uw iPhone is gehackt".

7 months geleden

Pinaview is een volledig uitgeruste adware-app

10 months geleden

Wat is Lucky-ransomware?

7 months geleden

'American Express - Update uw accountgegevens' E-mailfraude

6 months geleden
Nederlands
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.