Ransomware bande iskorištavaju reputaciju LockBita za vršenje pritiska na žrtve u novim napadima
Cyberkriminalci neprestano razvijaju svoje taktike, a jedna od njihovih najnovijih strategija uključuje iskorištavanje reputacije zloglasnog ransomwarea LockBit za zastrašivanje žrtava. U nedavnim napadima akteri prijetnji iskorištavaju Amazon S3 značajku Transfer Acceleration za eksfiltraciju podataka, koristeći ime LockBit za stvaranje straha, iako to nije stvarni ransomware.
Rastući trend: zlouporaba usluga u oblaku
Sigurnosni istraživači iz Trend Microa primijetili su porast ransomware grupa koje zlorabe Amazon Web Services (AWS). Napadači sada ugrađuju AWS vjerodajnice u svoj zlonamjerni softver kako bi krali podatke učinkovitije učitavajući ih u S3 spremnike pod svojom kontrolom. Dok napadači mogu koristiti svoje ili ukradene AWS račune, rezultat je isti: osjetljivi podaci završavaju u njihovim rukama. Srećom, AWS je djelovao brzo, suspendirajući kompromitirane račune nakon što ih je upozorio Trend Micro.
Ovaj trend signalizira da kibernetički kriminalci postaju sve vještiji u korištenju popularnih usluga u oblaku kao oružje za daljnje napade. Trend Micro otkrio je preko 30 uzoraka koji sadrže AWS pristupne ključeve, što sugerira da su te kampanje aktivne i da se šire.
Prerušavanje u LockBit za zatezanje omče
U tim su napadima operateri ransomwarea pokušali maskirati svoj zlonamjerni softver u LockBit, ozloglašeno ime u svijetu ransomwarea. Pozivajući se na ime LockBita, napadači su htjeli dodati psihološki pritisak, povećavajući vjerojatnost da će žrtve platiti otkupninu iz straha. Ransomware, napisan u Golangu, može zaraziti i Windows i macOS sustave, ali nije izravno povezan s izvornom grupom LockBit.
Nakon izvršenja, ransomware preuzima jedinstveni identifikator stroja (UUID), koji se koristi za generiranje glavnog ključa za šifriranje datoteka. Cilja određene vrste datoteka, eksfiltrira ih u AWS i preimenuje datoteke u procesu. Na primjer, datoteka pod nazivom "text.txt" postaje "text.txt.
Konačno, kako bi pojačao faktor straha, ransomware mijenja žrtvinu pozadinu u poruku LockBit 2.0, lažno povezujući napad s dobro poznatom skupinom ransomwarea.
Krajolik prijetnji Ransomwarea koji se razvija
Ovaj razvoj događaja dolazi dok se okruženje ransomwarea nastavlja mijenjati. Dok je LockBit oslabljen međunarodnim naporima za provođenje zakona , druge grupe poput RansomHuba, Qilina i Akire uskočile su u igru kako bi popunile prazninu. Konkretno, Akira se vratio taktici dvostrukog iznuđivanja, kombinirajući krađu podataka s enkripcijom.
Istraživači SentinelOne također su otkrili da su podružnice Mallox operacije ransomwarea počele koristiti modificirane verzije ransomwarea Kryptina za probijanje Linux sustava. Ova diversifikacija naglašava kako skupine ransomwarea međusobno oprašuju različite skupove alata i stvaraju složenije, hibridne vrste zlonamjernog softvera.
Bitka protiv ransomwarea
Unatoč sve većoj složenosti napada ransomwarea, došlo je do nekih pozitivnih pomaka. Na primjer, dekriptor za Mallox ransomware izdao je Gen Digital, nudeći žrtvama priliku da besplatno oporave svoje datoteke ako ih je pogodila ranija varijanta. Iako ovo nije rješenje za sve žrtve ransomwarea, pokazuje da se napreduje u borbi protiv ovih prijetnji.
Dodatno, u Microsoftovom nedavnom izvješću navedeno je da se, iako se ukupna količina napada ransomwarea smanjila, incidenti ransomwarea kojima upravljaju ljudi dramatično povećali. Ova promjena ukazuje na ciljanije napade u kojima kibernetički kriminalci aktivno upravljaju svojim operacijama, povećavajući pritisak na organizacije da ostanu na oprezu.
Ransomware napadi nastavljaju se razvijati, a napadači sve više zlorabe usluge u oblaku i prikrivaju svoje napore pod dobro poznatim imenima kao što je LockBit. Rastuća složenost ovih napada znači da organizacije moraju biti ispred igre, ulagati u snažne mjere kibernetičke sigurnosti i ostati oprezne u pogledu novih prijetnji. Dok su neke pobjede, poput izdavanja dekriptora, korak u pravom smjeru, borba protiv ransomwarea daleko je od kraja.