Lunavarajõugud kasutavad LockBiti mainet uute rünnakute ohvrite survestamiseks
Küberkurjategijad arendavad pidevalt oma taktikat ja üks nende uusimaid strateegiaid hõlmab kurikuulsa LockBiti lunavara maine ärakasutamist ohvrite hirmutamiseks. Hiljutised rünnakud on näinud ohus osalejaid, kes kasutavad andmete väljafiltreerimiseks ära Amazon S3 edastuskiirenduse funktsiooni, kasutades hirmu tekitamiseks LockBiti nime, kuigi see ei ole tegelik lunavara.
Kasvav trend: pilveteenuste väärkasutamine
Trend Micro turvateadlased on täheldanud Amazon Web Services (AWS) kuritarvitavate lunavararühmade arvu kasvu. Ründajad manustavad nüüd oma pahavara sisse AWS-i mandaadid, et varastada andmeid tõhusamalt, laadides need üles enda kontrolli all olevatesse S3 ämbritesse. Kuigi ründajad saavad kasutada oma või varastatud AWS-i kontosid, on tulemus sama: tundlikud andmed satuvad nende kätte. Õnneks on AWS tegutsenud kiiresti, peatades ohustatud kontod, kui Trend Micro seda hoiatas.
See suundumus annab märku, et küberkurjategijad on üha osavamad populaarsete pilveteenuste relvastamisel oma rünnakute edendamiseks. Trend Micro avastas üle 30 AWS-i pääsuvõtmeid sisaldava näidise, mis viitab sellele, et need kampaaniad on aktiivsed ja laienevad.
Silmuse pingutamiseks maskeerimine LockBitiks
Nende rünnakute käigus üritasid lunavaraoperaatorid maskeerida oma pahavara nimeks LockBit, mis on lunavaramaailmas kurikuulus nimi. LockBiti nimele tuginedes püüdsid ründajad lisada psühholoogilist survet, muutes ohvrid tõenäolisemalt hirmust lunaraha maksma. Golangis kirjutatud lunavara võib nakatada nii Windowsi kui ka macOS-i süsteeme, kuid see ei ole otseselt seotud algse LockBiti grupiga.
Pärast käivitamist haarab lunavara masina kordumatu identifikaatori (UUID), mida kasutatakse failide krüptimise peavõtme genereerimiseks. See sihib kindlaid failitüüpe, filtreerib need AWS-i ja nimetab protsessi käigus failid ümber. Näiteks fail nimega "text.txt" muutub järelkrüpteerimiseks "text.txt.
Lõpuks muudab lunavara hirmufaktori tugevdamiseks ohvri taustapildi LockBit 2.0 sõnumiks, ühendades rünnaku ekslikult tuntud lunavarajõuguga.
Ransomware's Evolving Threat Landscape
Need arengud tulevad siis, kui lunavara maastik muutub jätkuvalt. Kuigi rahvusvahelised õiguskaitsealased jõupingutused on LockBiti nõrgestanud , astuvad tühimiku täitmiseks teised rühmad, nagu RansomHub, Qilin ja Akira. Eelkõige on Akira pöördunud tagasi topeltväljapressimise taktika juurde, ühendades andmete varguse krüpteerimisega.
SentinelOne'i teadlased avastasid ka, et Malloxi lunavaraoperatsiooni sidusettevõtted on hakanud Linuxi süsteemide rikkumiseks kasutama Kryptina lunavara muudetud versioone. See mitmekesistamine toob esile, kuidas lunavararühmad risttolmlevad erinevaid tööriistakomplekte ja loovad keerukamaid hübriidseid pahavara tüvesid.
Võitlus lunavara vastu
Hoolimata lunavararünnakute keerukusest, on toimunud mõningaid positiivseid arenguid. Näiteks väljastas Gen Digital Mallox lunavara dekrüpteerija, mis pakub ohvritele võimalust oma failid tasuta taastada, kui neid tabab varasem variant. Kuigi see ei ole lahendus kõikidele lunavaraohvritele, näitab see, et nende ohtude vastu võitlemisel tehakse edusamme.
Lisaks märgiti Microsofti hiljutises aruandes, et kuigi lunavararünnakute üldine maht on vähenenud, on inimeste juhitud lunavarajuhtumite arv järsult suurenenud. See nihe viitab sihipärasematele rünnakutele, kus küberkurjategijad juhivad aktiivselt oma tegevust, suurendades organisatsioonide survet valvsuse säilitamiseks.
Lunavararünnakud arenevad jätkuvalt, ründajad kuritarvitavad üha enam pilveteenuseid ja varjavad oma jõupingutusi tuntud nimede, nagu LockBit, alla. Nende rünnakute kasvav keerukus tähendab, et organisatsioonid peavad jääma mängust ette, investeerima tugevatesse küberjulgeolekumeetmetesse ja jääma ettevaatlikuks esilekerkivate ohtude suhtes. Kuigi mõned võidud, nagu dekrüpteerijate vabastamine, on samm õiges suunas, pole võitlus lunavara vastu veel kaugeltki lõppenud.