Ransomware-jengit käyttävät hyväkseen LockBitin mainetta painostuksen uhreille uusissa hyökkäyksissä
Kyberrikolliset kehittävät jatkuvasti taktiikkaansa, ja yksi heidän uusimmista strategioistaan on käyttää pahamaineisen LockBit ransomwaren mainetta uhrien pelotteluun. Viimeaikaiset hyökkäykset ovat nähneet uhkatoimijoiden käyttäneen Amazon S3:n Transfer Acceleration -ominaisuutta tietojen suodattamiseen käyttämällä LockBitin nimeä pelon luomiseen, vaikka kyseessä ei olekaan varsinainen kiristysohjelma.
Kasvava trendi: pilvipalvelujen väärinkäyttö
Trend Micron tietoturvatutkijat ovat havainneet Amazon Web Services (AWS) -palveluita väärinkäyttävien kiristysohjelmaryhmien kasvun. Hyökkääjät upottavat nyt AWS-tunnistetietoja haittaohjelmiinsa varastaakseen tietoja tehokkaammin lataamalla ne hallintaansa oleviin S3-sävyihin. Vaikka hyökkääjät voivat käyttää joko omia tai varastettuja AWS-tilejä, lopputulos on sama: arkaluonteiset tiedot päätyvät heidän käsiinsä. Onneksi AWS on toiminut ripeästi ja keskeyttänyt vaarantuneet tilit Trend Micron saatuaan ilmoituksen.
Tämä suuntaus osoittaa, että kyberrikolliset ovat tulossa taitavammiksi aseistamaan suosittuja pilvipalveluja hyökkäysten edistämiseksi. Trend Micro löysi yli 30 näytettä, jotka sisältävät AWS-käyttöavaimia, mikä viittaa siihen, että nämä kampanjat ovat aktiivisia ja laajenemassa.
Naamioituminen LockBitiksi silmukan kiristämiseksi
Näissä hyökkäyksissä ransomware-operaattorit yrittivät naamioida haittaohjelmansa nimellä LockBit, pahamaineinen nimi ransomware-maailmassa. LockBitin nimeen vetoamalla hyökkääjät pyrkivät lisäämään psykologista painetta, jolloin uhrit maksavat todennäköisemmin lunnaita pelosta. Golangilla kirjoitettu kiristysohjelma voi tartuttaa sekä Windows- että macOS-järjestelmiä, mutta se ei ole suoraan linkitetty alkuperäiseen LockBit-ryhmään.
Suorituksen jälkeen kiristysohjelma nappaa koneen yksilöllisen tunnisteen (UUID), jota käytetään tiedostojen salauksen pääavaimen luomiseen. Se kohdistaa tiettyihin tiedostotyyppeihin, suodattaa ne AWS:ään ja nimeää tiedostot uudelleen prosessin aikana. Esimerkiksi tiedostosta nimeltä "text.txt" tulee jälkisalaus "text.txt.
Lopuksi, tehostaakseen pelkotekijää, kiristysohjelma muuttaa uhrin taustakuvan LockBit 2.0 -viestiksi, mikä yhdistää hyökkäyksen virheellisesti tunnettuun kiristysohjelmaryhmään.
Ransomwaren kehittyvä uhkamaisema
Tämä kehitys tapahtuu, kun kiristyshaittaohjelmat muuttuvat jatkuvasti. Vaikka kansainväliset lainvalvontatoimet ovat heikentäneet LockBitiä, muut ryhmät, kuten RansomHub, Qilin ja Akira, puuttuvat täyttämään tyhjyyttä. Erityisesti Akira on palannut kaksinkertaiseen kiristystaktiikkaan yhdistämällä tietovarkauden salaukseen.
SentinelOne-tutkijat paljastivat myös, että Mallox ransomware -toiminnan tytäryhtiöt ovat alkaneet käyttää Kryptina ransomwaren muunneltuja versioita Linux-järjestelmien rikkomiseen. Tämä monipuolistaminen korostaa, kuinka kiristysohjelmaryhmät ristipölyttävät erilaisia työkalusarjoja ja luovat monimutkaisempia, hybridihaittaohjelmia.
Taistelu kiristysohjelmia vastaan
Huolimatta kiristysohjelmien lisääntyvästä monimutkaisuudesta, positiivista kehitystä on tapahtunut. Esimerkiksi Gen Digital julkaisi Mallox lunnasohjelman salauksen purkuohjelman, joka tarjoaa uhreille mahdollisuuden palauttaa tiedostonsa ilmaiseksi, jos he joutuivat aiemman version hyökkäykseen. Vaikka tämä ei ole ratkaisu kaikille kiristysohjelmien uhreille, se osoittaa, että näitä uhkia vastaan taistelemisessa on edistytty.
Lisäksi Microsoftin tuoreessa raportissa todettiin, että vaikka kiristysohjelmahyökkäysten kokonaismäärä on vähentynyt, ihmisten toimittamat kiristysohjelmatapahtumat ovat lisääntyneet dramaattisesti. Tämä muutos viittaa kohdennettuihin hyökkäyksiin, joissa kyberrikolliset hallitsevat aktiivisesti toimintaansa, mikä lisää organisaatioiden painetta pysyä valppaana.
Ransomware-hyökkäykset kehittyvät edelleen, ja hyökkääjät käyttävät yhä enemmän väärin pilvipalveluita ja naamioivat ponnistelunsa tunnetuilla nimillä, kuten LockBit. Näiden hyökkäysten kasvava monimutkaisuus tarkoittaa, että organisaatioiden on pysyttävä pelin kärjessä, investoitava vankoihin kyberturvallisuustoimenpiteisiin ja pysyttävä varovaisina uusien uhkien suhteen. Vaikka jotkin voitot, kuten salauksenpurkuohjelmien vapauttaminen, ovat askel oikeaan suuntaan, taistelu lunnasohjelmia vastaan ei ole vielä läheskään ohi.