باج افزارهای باج افزار از شهرت LockBit برای قربانیان فشار در حملات جدید سوء استفاده می کنند
مجرمان سایبری به طور مداوم تاکتیک های خود را تغییر می دهند و یکی از آخرین استراتژی های آنها استفاده از شهرت باج افزار بدنام LockBit برای ترساندن قربانیان است. در حملات اخیر، عوامل تهدید از ویژگی شتاب انتقال آمازون S3 برای استخراج دادهها استفاده میکنند و از نام LockBit برای ایجاد ترس استفاده میکنند، حتی اگر این باجافزار واقعی درگیر نباشد.
روند رو به رشد: استفاده نادرست از خدمات ابری
محققان امنیتی Trend Micro مشاهده کردهاند که گروههای باجافزاری از خدمات وب آمازون (AWS) سوء استفاده میکنند. مهاجمان اکنون اعتبارنامه AWS را در بدافزار خود جاسازی میکنند تا با آپلود آن در سطلهای S3 تحت کنترل خود، دادهها را به طور مؤثرتر سرقت کنند. در حالی که مهاجمان می توانند از حساب های AWS خود یا دزدیده شده استفاده کنند، نتیجه یکسان است: داده های حساس به دست آنها می رسد. خوشبختانه، AWS به سرعت عمل کرده و حسابهای در معرض خطر را به محض هشدار Trend Micro معلق کرده است.
این روند نشان میدهد که مجرمان سایبری در استفاده از سرویسهای ابری محبوب برای پیشبرد حملات خود ماهرتر میشوند . Trend Micro بیش از 30 نمونه حاوی کلیدهای دسترسی AWS را کشف کرد که نشان می دهد این کمپین ها فعال و در حال گسترش هستند.
تغییر شکل LockBit برای سفت کردن طناب
در این حملات، اپراتورهای باج افزار تلاش کردند تا بدافزار خود را به عنوان LockBit، نامی بدنام در دنیای باج افزار، پنهان کنند. هدف مهاجمان با استناد به نام LockBit، افزایش فشار روانی بود که قربانیان را بیشتر از ترس باج میپردازد. این باجافزار که به زبان Golang نوشته شده است، میتواند سیستمهای Windows و macOS را آلوده کند، اما مستقیماً به گروه اصلی LockBit مرتبط نیست.
پس از اجرا، باجافزار شناسه منحصربهفرد ماشین (UUID) را میگیرد که برای ایجاد یک کلید اصلی برای رمزگذاری فایلها استفاده میشود. انواع فایل های خاصی را هدف قرار می دهد، آنها را به AWS تبدیل می کند و در این فرآیند نام فایل ها را تغییر می دهد. به عنوان مثال، فایلی به نام "text.txt" پس از رمزگذاری به "text.txt. در نهایت، برای تشدید عامل ترس، باجافزار تصویر زمینه قربانی را به یک پیام LockBit 2.0 تغییر میدهد و حمله را به اشتباه به باجافزار معروف متصل میکند. چشم انداز تهدید در حال تکامل باج افزار
این پیشرفتها در حالی رخ میدهند که چشمانداز باجافزار همچنان در حال تغییر است. در حالی که LockBit توسط تلاشهای مجری قانون بینالمللی ضعیف شده است، گروههای دیگری مانند RansomHub، Qilin و Akira برای پر کردن این خلاء وارد عمل میشوند. آکیرا، به ویژه، به تاکتیک های اخاذی مضاعف بازگشته است، و سرقت اطلاعات را با رمزگذاری ترکیب می کند. محققان SentinelOne همچنین کشف کردند که شرکتهای وابسته به عملیات باجافزار Mallox شروع به استفاده از نسخههای اصلاحشده باجافزار Kryptina برای نقض سیستمهای لینوکس کردهاند. این تنوع نشان میدهد که چگونه گروههای باجافزار در حال گرده افشانی متقابل مجموعه ابزارهای مختلف و ایجاد گونههای پیچیدهتر و ترکیبی از بدافزار هستند. نبرد علیه باج افزار علیرغم پیچیدگی روزافزون حملات باجافزار، پیشرفتهای مثبتی نیز رخ داده است. به عنوان مثال، یک رمزگشا برای باجافزار Mallox توسط Gen Digital منتشر شد که به قربانیان این فرصت را میدهد تا در صورت ضربه زدن به نوع قبلی، فایلهای خود را به صورت رایگان بازیابی کنند. اگرچه این راهحلی برای همه قربانیان باجافزار نیست، اما نشان میدهد که پیشرفتهایی در مقابله با این تهدیدات در حال انجام است. علاوه بر این، گزارش اخیر مایکروسافت اشاره کرد که در حالی که حجم کلی حملات باجافزار کاهش یافته است، حوادث باجافزاری که توسط انسان کار میکنند به طرز چشمگیری افزایش یافتهاند. این تغییر به حملات هدفمندتر اشاره می کند که در آن مجرمان سایبری به طور فعال عملیات خود را مدیریت می کنند و فشار بر سازمان ها را برای حفظ هوشیاری افزایش می دهد. حملات باج افزار همچنان در حال تکامل هستند و مهاجمان به طور فزاینده ای از خدمات ابری سوء استفاده می کنند و تلاش های خود را تحت نام های معروفی مانند LockBit پنهان می کنند. پیچیدگی فزاینده این حملات به این معنی است که سازمانها باید جلوتر از بازی باقی بمانند، روی اقدامات امنیت سایبری قوی سرمایهگذاری کنند و در مقابل تهدیدات نوظهور محتاط باشند. در حالی که برخی از پیروزیها، مانند انتشار رمزگشاها، گامی در مسیر درست هستند، مبارزه با باجافزار هنوز به پایان نرسیده است.