כנופיות כופר מנצלות את המוניטין של LockBit ללחץ על קורבנות בהתקפות חדשות
פושעי סייבר מתפתחים כל הזמן את הטקטיקה שלהם, ואחת האסטרטגיות האחרונות שלהם כוללת מינוף המוניטין של תוכנת הכופר הידועה לשמצה של LockBit כדי להפחיד קורבנות. התקפות אחרונות ראו שחקני איומים מנצלים את תכונת האצת העברה של אמזון S3 כדי לסנן נתונים, תוך שימוש בשם של LockBit כדי ליצור פחד, למרות שלא מדובר בתוכנת הכופר בפועל.
מגמה גוברת: שימוש לרעה בשירותי ענן
חוקרי אבטחה מ-Trend Micro ראו עלייה בקבוצות של תוכנות כופר המשתמשות לרעה בשירותי האינטרנט של אמזון (AWS). התוקפים מטמיעים כעת אישורי AWS בתוך התוכנה הזדונית שלהם כדי לגנוב נתונים בצורה יעילה יותר על ידי העלאתם לדלי S3 שבשליטתם. בעוד שתוקפים יכולים להשתמש בחשבונות AWS שלהם או שנגנבו, התוצאה זהה: נתונים רגישים מגיעים לידיים שלהם. למרבה המזל, AWS פעלה במהירות, והשעתה את החשבונות שנפרצו לאחר שהוזעקו על ידי Trend Micro.
מגמה זו מאותתת שפושעי סייבר הופכים מיומנים יותר בנשק שירותי ענן פופולריים כדי לקדם את התקפותיהם. Trend Micro גילתה למעלה מ-30 דוגמאות המכילות מפתחות גישה של AWS, מה שמרמז שמסעות הפרסום הללו פעילים ומתרחבים.
מתחפש ל-LockBit כדי להדק את הלולאה
בהתקפות אלו, מפעילי תוכנות הכופר ניסו להסוות את התוכנה הזדונית שלהם בתור LockBit, שם ידוע לשמצה בעולם תוכנות הכופר. על ידי הפעלת שמו של LockBit, התוקפים שאפו להוסיף לחץ פסיכולוגי, ולגרום לקורבנות לשלם את הכופר מפחד. תוכנת הכופר, שנכתבה ב-Golang, יכולה להדביק גם מערכות Windows וגם macOS, אבל היא לא מקושרת ישירות לקבוצת LockBit המקורית.
לאחר הביצוע, תוכנת הכופר תופסת את המזהה הייחודי של המכונה (UUID), המשמשת ליצירת מפתח ראשי להצפנת קבצים. הוא מכוון לסוגי קבצים ספציפיים, מסנן אותם ל-AWS ומשנה שמות של קבצים בתהליך. לדוגמה, קובץ בשם "text.txt" הופך לאחר ההצפנה "text.txt. לבסוף, כדי להעצים את גורם הפחד, תוכנת הכופר משנה את הטפט של הקורבן להודעת LockBit 2.0, וקושרת את המתקפה לכנופיית תוכנות הכופר הידועה. נוף האיומים המתפתח של Ransomware
ההתפתחויות הללו מגיעות ככל שנוף תוכנות הכופר ממשיך להשתנות. בעוד LockBit נחלש על ידי מאמצי אכיפת החוק הבינלאומיים , קבוצות אחרות כמו RansomHub, Qilin ו- Akira נכנסות למלא את החלל. אקירה, במיוחד, חזרה לטקטיקות סחיטה כפולה, המשלבת גניבת נתונים עם הצפנה. חוקרי SentinelOne חשפו גם ששותפים של פעולת תוכנת הכופר Mallox החלו להשתמש בגרסאות מעודנות של תוכנת הכופר Kryptina כדי לפרוץ מערכות לינוקס. הגיוון הזה מדגיש כיצד קבוצות תוכנות כופר מצלבות ערכות כלים שונות ויוצרות זנים היברידיים מורכבים יותר של תוכנות זדוניות. הקרב נגד תוכנות הכופר למרות המורכבות ההולכת וגוברת של מתקפות כופר, חלו כמה התפתחויות חיוביות. לדוגמה, מפענח עבור תוכנת הכופר של Mallox שוחרר על ידי Gen Digital, ומציע לקורבנות הזדמנות לשחזר את הקבצים שלהם בחינם אם הם נפגעו מגרסה קודמת. אמנם זה לא פתרון לכל נפגעי תוכנות הכופר, אבל זה מראה שמתבצעים התקדמות במאבק נגד האיומים הללו. בנוסף, הדו"ח האחרון של מיקרוסופט ציין כי בעוד שהנפח הכולל של מתקפות כופר ירד, תקריות תוכנות כופר המופעלות על ידי אדם גדלו באופן דרמטי. שינוי זה מצביע על התקפות ממוקדות יותר שבהן פושעי סייבר מנהלים את פעילותם באופן פעיל, ומגביר את הלחץ על ארגונים להישאר ערניים. התקפות כופר ממשיכות להתפתח, כאשר התוקפים מנצלים יותר ויותר שירותי ענן ומסווים את מאמציהם תחת שמות ידועים כמו LockBit. המורכבות ההולכת וגוברת של התקפות אלו פירושה שארגונים צריכים להקדים את המשחק, להשקיע באמצעי אבטחת סייבר חזקים ולהישאר זהירים מאיומים מתעוררים. בעוד שכמה ניצחונות, כמו שחרור מפענחים, הם צעד בכיוון הנכון, המאבק נגד תוכנות הכופר רחוק מלהסתיים.