Групи от рансъмуер експлоатират репутацията на LockBit, за да оказват натиск върху жертвите при нови атаки

Киберпрестъпниците непрекъснато развиват своите тактики и една от най-новите им стратегии включва използването на репутацията на скандалния рансъмуер LockBit за сплашване на жертвите. Скорошни атаки видяха заплахи да използват функцията за ускоряване на трансфера на Amazon S3, за да ексфилтрират данни, използвайки името на LockBit, за да създадат страх, въпреки че това не е действителният ransomware.

Нарастваща тенденция: злоупотреба с облачни услуги

Изследователи по сигурността от Trend Micro са наблюдавали нарастване на групите за рансъмуер, злоупотребяващи с Amazon Web Services (AWS). Нападателите вече вграждат идентификационни данни за AWS в своя злонамерен софтуер, за да крадат данни по-ефективно, като ги качват в кофи S3 под техен контрол. Въпреки че нападателите могат да използват свои собствени или откраднати акаунти в AWS, резултатът е същият: чувствителните данни се озовават в ръцете им. За щастие, AWS действа бързо, спирайки компрометираните акаунти, след като бъде предупреден от Trend Micro.

Тази тенденция сигнализира, че киберпрестъпниците стават все по-умели в оръжието на популярни облачни услуги, за да продължат своите атаки. Trend Micro откри над 30 проби, съдържащи AWS ключове за достъп, което предполага, че тези кампании са активни и се разширяват.

Маскиране като LockBit за затягане на примката

При тези атаки операторите на ransomware се опитаха да прикрият своя зловреден софтуер като LockBit, прословуто име в света на ransomware. Като се позовават на името на LockBit, нападателите са имали за цел да добавят психологически натиск, правейки жертвите по-склонни да платят откупа от страх. Рансъмуерът, написан на Golang, може да зарази както Windows, така и macOS системи, но не е пряко свързан с оригиналната група LockBit.

След изпълнение рансъмуерът грабва уникалния идентификатор на машината (UUID), който се използва за генериране на главен ключ за криптиране на файлове. Той е насочен към конкретни типове файлове, ексфилтрира ги в AWS и преименува файловете в процеса. Например файл, наречен „text.txt“, става „text.txt..abcd“ след криптирането.

И накрая, за да засили фактора на страха, рансъмуерът променя тапета на жертвата на съобщение LockBit 2.0, фалшиво свързвайки атаката с добре познатата банда за рансъмуер.

Пейзажът на развиващите се заплахи на Ransomware

Тези развития идват, докато пейзажът на ransomware продължава да се променя. Докато LockBit беше отслабен от усилията на международните правоприлагащи органи , други групи като RansomHub, Qilin и Akira се намесват, за да запълнят празнината. Акира, по-специално, се върна към двойна тактика за изнудване, комбинирайки кражба на данни с криптиране.

Изследователите на SentinelOne също разкриха, че филиалите на операцията за рансъмуер Mallox са започнали да използват модифицирани версии на рансъмуер Kryptina, за да пробият Linux системи. Тази диверсификация подчертава как групите за рансъмуер кръстосано опрашват различни набори от инструменти и създават по-сложни, хибридни видове зловреден софтуер.

Битката срещу Ransomware

Въпреки нарастващата сложност на атаките с ransomware, има някои положителни развития. Например, декриптор за рансъмуера Mallox беше пуснат от Gen Digital, предлагайки на жертвите шанс да възстановят файловете си безплатно, ако бъдат засегнати от по-ранен вариант. Въпреки че това не е решение за всички жертви на ransomware, то показва, че се прави напредък в борбата срещу тези заплахи.

Освен това, скорошният доклад на Microsoft отбелязва, че докато общият обем на атаките с рансъмуер е намалял, инцидентите с рансъмуер, управлявани от хора, са се увеличили драстично. Тази промяна сочи към по-целенасочени атаки, при които киберпрестъпниците активно управляват своите операции, увеличавайки натиска върху организациите да останат бдителни.

Ransomware атаките продължават да се развиват, като нападателите все повече злоупотребяват с облачни услуги и прикриват усилията си под добре известни имена като LockBit. Нарастващата сложност на тези атаки означава, че организациите трябва да изпреварват играта, като инвестират в стабилни мерки за киберсигурност и остават предпазливи по отношение на възникващи заплахи. Въпреки че някои победи, като пускането на декриптори, са стъпка в правилната посока, борбата срещу ransomware далеч не е приключила.