Συμμορίες Ransomware εκμεταλλεύονται τη φήμη του LockBit σε θύματα πίεσης σε νέες επιθέσεις

Οι εγκληματίες του κυβερνοχώρου εξελίσσουν συνεχώς τις τακτικές τους και μία από τις τελευταίες στρατηγικές τους περιλαμβάνει τη μόχλευση της φήμης του διαβόητου ransomware LockBit για τον εκφοβισμό των θυμάτων. Πρόσφατες επιθέσεις έχουν δει τους παράγοντες απειλών να εκμεταλλεύονται τη δυνατότητα Επιτάχυνσης Μεταφοράς του Amazon S3 για να διεισδύσουν δεδομένα, χρησιμοποιώντας το όνομα του LockBit για να δημιουργήσουν φόβο, παρόλο που δεν πρόκειται για το πραγματικό ransomware.

Μια αυξανόμενη τάση: Κατάχρηση υπηρεσιών Cloud

Ερευνητές ασφαλείας από την Trend Micro παρατήρησαν αύξηση των ομάδων ransomware που κάνουν κατάχρηση των υπηρεσιών Web της Amazon (AWS). Οι εισβολείς ενσωματώνουν τώρα τα διαπιστευτήρια AWS στο κακόβουλο λογισμικό τους για να κλέψουν δεδομένα πιο αποτελεσματικά ανεβάζοντάς τα σε κάδους S3 υπό τον έλεγχό τους. Ενώ οι εισβολείς μπορούν είτε να χρησιμοποιήσουν δικούς τους είτε κλεμμένους λογαριασμούς AWS, το αποτέλεσμα είναι το ίδιο: ευαίσθητα δεδομένα καταλήγουν στα χέρια τους. Ευτυχώς, η AWS ενήργησε γρήγορα, αναστέλλοντας τους παραβιασμένους λογαριασμούς μόλις ειδοποιηθούν από την Trend Micro.

Αυτή η τάση σηματοδοτεί ότι οι εγκληματίες του κυβερνοχώρου γίνονται πιο έμπειροι στο να εξοπλίζουν δημοφιλείς υπηρεσίες cloud για να προωθήσουν τις επιθέσεις τους. Η Trend Micro ανακάλυψε περισσότερα από 30 δείγματα που περιέχουν κλειδιά πρόσβασης AWS, γεγονός που υποδηλώνει ότι αυτές οι καμπάνιες είναι ενεργές και επεκτείνονται.

Μεταμφίεση ως LockBit για να σφίξει τη θηλιά

Σε αυτές τις επιθέσεις, οι χειριστές ransomware προσπάθησαν να συγκαλύψουν το κακόβουλο λογισμικό τους ως LockBit, ένα διαβόητο όνομα στον κόσμο των ransomware. Επικαλούμενοι το όνομα του LockBit, οι επιτιθέμενοι είχαν ως στόχο να προσθέσουν ψυχολογική πίεση, καθιστώντας τα θύματα πιο πιθανό να πληρώσουν τα λύτρα από φόβο. Το ransomware, γραμμένο σε Golang, μπορεί να μολύνει συστήματα Windows και macOS, αλλά δεν συνδέεται άμεσα με την αρχική ομάδα LockBit.

Μετά την εκτέλεση, το ransomware αρπάζει το μοναδικό αναγνωριστικό ενός μηχανήματος (UUID), το οποίο χρησιμοποιείται για τη δημιουργία ενός κύριου κλειδιού για την κρυπτογράφηση αρχείων. Στοχεύει συγκεκριμένους τύπους αρχείων, τους εξάγει σε AWS και μετονομάζει αρχεία στη διαδικασία. Για παράδειγμα, ένα αρχείο που ονομάζεται "text.txt" γίνεται "text.txt..abcd" μετά την κρυπτογράφηση.

Τέλος, για να εντείνει τον παράγοντα φόβου, το ransomware αλλάζει την ταπετσαρία του θύματος σε μήνυμα LockBit 2.0, συνδέοντας ψευδώς την επίθεση με τη γνωστή συμμορία ransomware.

Το εξελισσόμενο τοπίο απειλών του Ransomware

Αυτές οι εξελίξεις έρχονται καθώς το τοπίο ransomware συνεχίζει να αλλάζει. Ενώ το LockBit έχει αποδυναμωθεί από τις διεθνείς προσπάθειες επιβολής του νόμου , άλλες ομάδες όπως οι RansomHub, Qilin και Akira παρεμβαίνουν για να καλύψουν το κενό. Ο Akira, ειδικότερα, έχει επανέλθει σε τακτικές διπλού εκβιασμού, συνδυάζοντας την κλοπή δεδομένων με την κρυπτογράφηση.

Οι ερευνητές του SentinelOne αποκάλυψαν επίσης ότι οι θυγατρικές της λειτουργίας ransomware Mallox έχουν αρχίσει να χρησιμοποιούν τροποποιημένες εκδόσεις του Kryptina ransomware για να παραβιάσουν συστήματα Linux. Αυτή η διαφοροποίηση υπογραμμίζει τον τρόπο με τον οποίο ομάδες ransomware διασταυρώνουν διαφορετικά σύνολα εργαλείων και δημιουργούν πιο περίπλοκα, υβριδικά στελέχη κακόβουλου λογισμικού.

Η μάχη ενάντια στο Ransomware

Παρά την αυξανόμενη πολυπλοκότητα των επιθέσεων ransomware, υπήρξαν ορισμένες θετικές εξελίξεις. Για παράδειγμα, ένας αποκρυπτογραφητής για το ransomware Mallox κυκλοφόρησε από την Gen Digital, προσφέροντας στα θύματα την ευκαιρία να ανακτήσουν τα αρχεία τους δωρεάν εάν χτυπηθούν από μια προηγούμενη παραλλαγή. Αν και αυτή δεν είναι μια λύση για όλα τα θύματα ransomware, δείχνει ότι σημειώνονται πρόοδοι στην καταπολέμηση αυτών των απειλών.

Επιπλέον, η πρόσφατη αναφορά της Microsoft σημείωσε ότι ενώ ο συνολικός όγκος των επιθέσεων ransomware έχει μειωθεί, τα περιστατικά ransomware που λειτουργούν από ανθρώπους έχουν αυξηθεί δραματικά. Αυτή η αλλαγή δείχνει πιο στοχευμένες επιθέσεις όπου οι εγκληματίες του κυβερνοχώρου διαχειρίζονται ενεργά τις δραστηριότητές τους, αυξάνοντας την πίεση στους οργανισμούς να παραμείνουν σε επαγρύπνηση.

Οι επιθέσεις ransomware συνεχίζουν να εξελίσσονται, με τους εισβολείς να καταχρώνται όλο και περισσότερο τις υπηρεσίες cloud και να συγκαλύπτουν τις προσπάθειές τους με γνωστά ονόματα όπως το LockBit. Η αυξανόμενη πολυπλοκότητα αυτών των επιθέσεων σημαίνει ότι οι οργανισμοί πρέπει να παραμείνουν μπροστά από το παιχνίδι, επενδύοντας σε ισχυρά μέτρα κυβερνοασφάλειας και παραμένοντας προσεκτικοί απέναντι στις αναδυόμενες απειλές. Ενώ ορισμένες νίκες, όπως η κυκλοφορία αποκρυπτογραφητών, είναι ένα βήμα προς τη σωστή κατεύθυνση, ο αγώνας ενάντια στο ransomware απέχει πολύ από το να έχει τελειώσει.