Ransomware-bander udnytter LockBits omdømme til at presse ofre i nye angreb

Cyberkriminelle udvikler konstant deres taktik, og en af deres seneste strategier involverer at udnytte den berygtede LockBit ransomwares omdømme til at intimidere ofre. De seneste angreb har set trusselsaktører udnytte Amazon S3's Transfer Acceleration-funktion til at eksfiltrere data ved at bruge LockBits navn til at skabe frygt, selvom det ikke er den faktiske involverede ransomware.

En voksende tendens: Misbrug af skytjenester

Sikkerhedsforskere fra Trend Micro har observeret en stigning i ransomware -grupper, der misbruger Amazon Web Services (AWS). Angribere indlejrer nu AWS-legitimationsoplysninger i deres malware for at stjæle data mere effektivt ved at uploade det til S3-bøtter under deres kontrol. Mens angribere enten kan bruge deres egne eller stjålne AWS-konti, er resultatet det samme: følsomme data ender i deres hænder. Heldigvis har AWS handlet hurtigt og suspenderet de kompromitterede konti, når de først blev advaret af Trend Micro.

Denne tendens signalerer, at cyberkriminelle bliver dygtigere til at bevæbne populære cloud-tjenester for at fremme deres angreb. Trend Micro opdagede over 30 prøver indeholdende AWS-adgangsnøgler, hvilket tyder på, at disse kampagner er aktive og udvides.

Forklædt som LockBit for at stramme løkken

I disse angreb forsøgte ransomware-operatører at skjule deres malware som LockBit, et berygtet navn i ransomware-verdenen. Ved at påkalde LockBits navn sigtede angriberne at tilføje psykologisk pres, hvilket gør ofrene mere tilbøjelige til at betale løsesummen af frygt. Ransomwaren, skrevet i Golang, kan inficere både Windows- og macOS-systemer, men den er ikke direkte knyttet til den originale LockBit-gruppe.

Efter udførelse griber ransomwaren maskinens unikke identifikator (UUID), som bruges til at generere en hovednøgle til kryptering af filer. Den er rettet mod specifikke filtyper, eksfiltrerer dem til AWS og omdøber filer i processen. For eksempel bliver en fil kaldet "text.txt" til "text.txt..abcd" efter kryptering.

Til sidst, for at intensivere frygtfaktoren, ændrer ransomware ofrets tapet til en LockBit 2.0-meddelelse, der fejlagtigt forbinder angrebet med den velkendte ransomware-bande.

Ransomware's Evolving Threat Landscape

Denne udvikling kommer, efterhånden som ransomware-landskabet fortsætter med at skifte. Mens LockBit er blevet svækket af international retshåndhævelse , træder andre grupper som RansomHub, Qilin og Akira ind for at udfylde tomrummet. Især Akira er vendt tilbage til dobbelt afpresningstaktik, der kombinerer datatyveri med kryptering.

SentinelOne-forskere afslørede også, at datterselskaber af Mallox ransomware-operationen er begyndt at bruge modificerede versioner af Kryptina ransomware til at bryde Linux-systemer. Denne diversificering fremhæver, hvordan ransomware-grupper krydsbestøver forskellige værktøjssæt og skaber mere komplekse, hybride stammer af malware.

Kampen mod ransomware

På trods af den stigende kompleksitet af ransomware-angreb har der været nogle positive udviklinger. For eksempel blev en dekryptering til Mallox ransomware udgivet af Gen Digital, som giver ofre en chance for at gendanne deres filer gratis, hvis de blev ramt af en tidligere variant. Selvom dette ikke er en løsning for alle ransomware-ofre, viser det, at der sker fremskridt i kampen mod disse trusler.

Derudover bemærkede Microsofts nylige rapport, at mens den samlede mængde af ransomware-angreb er faldet, er menneskedrevne ransomware-hændelser steget dramatisk. Dette skift peger på mere målrettede angreb, hvor cyberkriminelle aktivt styrer deres operationer, hvilket øger presset på organisationer for at forblive på vagt.

Ransomware-angreb fortsætter med at udvikle sig, hvor angribere i stigende grad misbruger cloud-tjenester og skjuler deres indsats under velkendte navne som LockBit. Den voksende kompleksitet af disse angreb betyder, at organisationer er nødt til at være på forkant med spillet, investere i robuste cybersikkerhedsforanstaltninger og forblive forsigtige over for nye trusler. Mens nogle gevinster, som frigivelsen af dekrypteringer, er et skridt i den rigtige retning, er kampen mod ransomware langt fra slut.