Ransomwarové gangy využívají pověst LockBitu k nátlaku na oběti při nových útocích

Kyberzločinci neustále vyvíjejí své taktiky a jedna z jejich nejnovějších strategií zahrnuje využití pověsti nechvalně známého ransomwaru LockBit k zastrašování obětí. Při nedávných útocích aktéři hrozeb využívali funkci převodové akcelerace Amazon S3 k exfiltraci dat pomocí jména LockBit k vyvolání strachu, i když se nejedná o skutečný ransomware.

Rostoucí trend: Zneužívání cloudových služeb

Bezpečnostní výzkumníci z Trend Micro zaznamenali nárůst ransomwarových skupin zneužívajících Amazon Web Services (AWS). Útočníci nyní vkládají přihlašovací údaje AWS do svého malwaru, aby mohli efektivněji krást data tím, že je nahrávají do bucketů S3 pod jejich kontrolou. Zatímco útočníci mohou používat vlastní nebo ukradené účty AWS, výsledek je stejný: citlivá data končí v jejich rukou. Naštěstí AWS jednal rychle a po upozornění Trend Micro napadené účty pozastavil.

Tento trend signalizuje, že kyberzločinci jsou stále zběhlejší ve vyzbrojování populárních cloudových služeb, aby podpořili své útoky. Společnost Trend Micro objevila více než 30 vzorků obsahujících přístupové klíče AWS, což naznačuje, že tyto kampaně jsou aktivní a rozšiřují se.

Přestrojení za LockBit pro utažení smyčky

V těchto útocích se provozovatelé ransomwaru pokusili zamaskovat svůj malware jako LockBit, což je ve světě ransomwaru notoricky známé jméno. Vyvoláním jména LockBit chtěli útočníci přidat psychologický tlak, aby oběti ze strachu zaplatily výkupné. Ransomware napsaný v Golangu může infikovat systémy Windows i macOS, ale není přímo spojen s původní skupinou LockBit.

Po spuštění ransomware získá jedinečný identifikátor stroje (UUID), který se používá ke generování hlavního klíče pro šifrování souborů. Zaměřuje se na konkrétní typy souborů, exfiltruje je do AWS a přejmenovává soubory v procesu. Například soubor s názvem „text.txt“ se po zašifrování změní na „text.txt..abcd“.

Nakonec, aby se faktor strachu zesílil, ransomware změní tapetu oběti na zprávu LockBit 2.0, čímž falešně spojuje útok se známým ransomwarovým gangem.

Vyvíjející se krajina hrozeb ransomwaru

Tento vývoj přichází s tím, jak se prostředí ransomwaru neustále mění. Zatímco LockBit byl oslaben mezinárodním úsilím vymáhání práva , další skupiny jako RansomHub, Qilin a Akira zasahují, aby zaplnily prázdnotu. Zejména Akira se vrátila k taktice dvojitého vydírání, kdy kombinují krádež dat se šifrováním.

Výzkumníci SentinelOne také odhalili, že pobočky operace Mallox ransomware začaly používat upravené verze ransomwaru Kryptina k narušení systémů Linux. Tato diverzifikace zdůrazňuje, jak skupiny ransomwaru křížově opylují různé sady nástrojů a vytvářejí složitější hybridní kmeny malwaru.

Bitva proti ransomwaru

Navzdory rostoucí složitosti ransomwarových útoků došlo k určitému pozitivnímu vývoji. Například společnost Gen Digital vydala dešifrovací nástroj pro ransomware Mallox, který obětem nabízí šanci obnovit své soubory zdarma, pokud byly zasaženy dřívější variantou. I když to není řešení pro všechny oběti ransomwaru, ukazuje to, že v boji proti těmto hrozbám dochází k pokroku.

Nedávná zpráva Microsoftu navíc uvádí, že zatímco celkový objem ransomwarových útoků se snížil, počet incidentů s ransomwarem řízených lidmi dramaticky vzrostl. Tento posun ukazuje na cílenější útoky, kdy kyberzločinci aktivně řídí své operace, což zvyšuje tlak na organizace, aby zůstaly ostražité.

Ransomwarové útoky se stále vyvíjejí, útočníci stále častěji zneužívají cloudové služby a své snahy maskují pod známá jména, jako je LockBit. Rostoucí složitost těchto útoků znamená, že organizace musí zůstat na špici, investovat do robustních opatření kybernetické bezpečnosti a zůstat obezřetné vůči vznikajícím hrozbám. Zatímco některé výhry, jako je vydání dešifrovacích nástrojů, jsou krokem správným směrem, boj proti ransomwaru ještě zdaleka nekončí.