Les bandes de ransomware exploten la reputació de LockBit per pressionar les víctimes en nous atacs
Els cibercriminals estan evolucionant constantment les seves tàctiques i una de les seves últimes estratègies consisteix a aprofitar la reputació del famós ransomware LockBit per intimidar les víctimes. Els atacs recents han vist que els actors d'amenaces utilitzen la funció d'acceleració de transferència d'Amazon S3 per exfiltrar dades, utilitzant el nom de LockBit per crear por, tot i que no és el ransomware real implicat.
Una tendència creixent: mal ús dels serveis al núvol
Els investigadors de seguretat de Trend Micro han observat un augment dels grups de ransomware que abusen dels serveis web d'Amazon (AWS). Els atacants ara incrusten credencials d'AWS al seu programari maliciós per robar dades de manera més eficient penjant-les als cubs S3 sota el seu control. Tot i que els atacants poden utilitzar els seus comptes AWS o els robats, el resultat és el mateix: les dades sensibles acaben a les seves mans. Afortunadament, AWS ha actuat ràpidament, suspendint els comptes compromesos un cop alertat per Trend Micro.
Aquesta tendència indica que els ciberdelinqüents són cada cop més hàbils per armar els serveis populars al núvol per afavorir els seus atacs. Trend Micro va descobrir més de 30 mostres que contenien claus d'accés d'AWS, cosa que suggereix que aquestes campanyes estan actives i s'estan expandint.
Disfressar-se de LockBit per estrènyer el llaç
En aquests atacs, els operadors de ransomware van intentar disfressar el seu programari maliciós com a LockBit, un nom notori al món del ransomware. En invocar el nom de LockBit, els atacants pretenien afegir pressió psicològica, fent que les víctimes siguin més propenses a pagar el rescat per por. El ransomware, escrit a Golang, pot infectar sistemes Windows i macOS, però no està directament vinculat al grup LockBit original.
Després de l'execució, el ransomware agafa l'identificador únic (UUID) d'una màquina, que s'utilitza per generar una clau mestra per xifrar fitxers. S'orienta a tipus de fitxers específics, els exfiltra a AWS i canvia el nom dels fitxers en el procés. Per exemple, un fitxer anomenat "text.txt" es converteix en "text.txt.
Finalment, per intensificar el factor por, el ransomware canvia el fons de pantalla de la víctima a un missatge LockBit 2.0, connectant falsament l'atac amb la coneguda banda de ransomware.
El panorama d'amenaces en evolució del ransomware
Aquests desenvolupaments es produeixen a mesura que el panorama del ransomware continua canviant. Tot i que LockBit s'ha debilitat pels esforços internacionals d'aplicació de la llei , altres grups com RansomHub, Qilin i Akira estan intervenint per omplir el buit. Akira, en particular, ha tornat a les tàctiques d'extorsió doble, combinant el robatori de dades amb el xifratge.
Els investigadors de SentinelOne també van descobrir que els afiliats de l'operació de ransomware Mallox han començat a utilitzar versions modificades del ransomware Kryptina per violar els sistemes Linux. Aquesta diversificació posa de manifest com els grups de ransomware estan pol·linitzant diferents conjunts d'eines i creen soques de programari maliciós més complexes i híbrids.
La batalla contra el ransomware
Malgrat la creixent complexitat dels atacs de ransomware, hi ha hagut alguns desenvolupaments positius. Per exemple, Gen Digital va llançar un desxifrador per al ransomware Mallox, oferint a les víctimes l'oportunitat de recuperar els seus fitxers de forma gratuïta si eren afectats per una variant anterior. Tot i que aquesta no és una solució per a totes les víctimes del ransomware, demostra que s'estan fent avenços en la lluita contra aquestes amenaces.
A més, l'informe recent de Microsoft va assenyalar que, si bé el volum global d'atacs de ransomware ha disminuït, els incidents de ransomware operats per humans han augmentat dràsticament. Aquest canvi apunta a atacs més específics on els ciberdelinqüents gestionen activament les seves operacions, augmentant la pressió sobre les organitzacions perquè es mantinguin vigilants.
Els atacs de ransomware continuen evolucionant, i els atacants abusen cada cop més dels serveis al núvol i dissimulen els seus esforços amb noms coneguts com LockBit. La creixent complexitat d'aquests atacs significa que les organitzacions han de mantenir-se al capdavant del joc, invertint en mesures sòlides de ciberseguretat i sent prudents davant les amenaces emergents. Tot i que algunes victòries, com el llançament de desxifradors, són un pas en la direcció correcta, la lluita contra el ransomware està lluny d'haver acabat.