A Ransomware-bandák kihasználják a LockBit hírnevét új támadások áldozatainak nyomására

A kiberbűnözők folyamatosan fejlesztik taktikájukat, és egyik legújabb stratégiájuk a hírhedt LockBit ransomware hírnevének hasznosítása az áldozatok megfélemlítése érdekében. A közelmúltban történt támadások során a fenyegetés szereplői az Amazon S3 Transfer Acceleration funkcióját használják ki adatok kiszűrésére, a LockBit nevével félelmet keltve, noha nem a zsarolóprogramról van szó.

Egyre növekvő tendencia: a felhőszolgáltatásokkal való visszaélés

A Trend Micro biztonsági kutatói megfigyelték az Amazon Web Services (AWS) szolgáltatással visszaélő ransomware csoportok számának növekedését. A támadók most AWS-hitelesítő adatokat ágyaznak be rosszindulatú szoftvereikbe, hogy hatékonyabban lophassák el az adatokat azáltal, hogy feltöltik azokat az irányításuk alatt álló S3 tárolókba. Bár a támadók használhatják saját vagy ellopott AWS-fiókjukat, az eredmény ugyanaz: az érzékeny adatok a kezükbe kerülnek. Szerencsére az AWS gyorsan cselekedett, felfüggesztve a feltört fiókokat, miután a Trend Micro figyelmeztette.

Ez a tendencia azt jelzi, hogy a kiberbűnözők egyre ügyesebbek a népszerű felhőszolgáltatások fegyverkezésében, hogy elősegítsék támadásaikat. A Trend Micro több mint 30 mintát fedezett fel, amelyek AWS hozzáférési kulcsokat tartalmaznak, ami arra utal, hogy ezek a kampányok aktívak és bővülnek.

LockBitnek álcázva a hurok meghúzásához

Ezekben a támadásokban a zsarolóvírus-üzemeltetők LockBit néven próbálták álcázni rosszindulatú programjaikat, amely egy hírhedt név a zsarolóvírusok világában. A LockBit nevére hivatkozva a támadók pszichológiai nyomást kívántak gyakorolni, így az áldozatok nagyobb valószínűséggel fizetik meg a váltságdíjat félelemből. A Golang nyelven írt zsarolóprogram Windows és macOS rendszereket is megfertőzhet, de nem kapcsolódik közvetlenül az eredeti LockBit csoporthoz.

A végrehajtás után a zsarolóprogram megragadja a gép egyedi azonosítóját (UUID), amely a fájlok titkosítására szolgáló mesterkulcsot generál. Megcéloz bizonyos fájltípusokat, kiszűri őket az AWS-be, és a folyamat során átnevezi a fájlokat. Például egy "szöveg.txt" nevű fájl "szöveg.txt..abcd" utótitkosítássá válik.

Végül, hogy fokozza a félelemtényezőt, a zsarolóprogram az áldozat háttérképét LockBit 2.0 üzenetre változtatja, hamisan összekapcsolva a támadást a jól ismert ransomware bandával.

Ransomware Evolving Threat Landscape

Ezek a fejlemények a ransomware-környezet folyamatos változásai során következnek be. Míg a LockBit meggyengült a nemzetközi bűnüldözési erőfeszítések miatt , más csoportok, például a RansomHub, a Qilin és az Akira beavatkoznak az űr betöltésére. Akira különösen visszatért a kettős zsarolási taktikához, az adatlopást a titkosítással kombinálva.

A SentinelOne kutatói azt is feltárták, hogy a Mallox ransomware leányvállalatai elkezdték a Kryptina ransomware módosított verzióit használni a Linux rendszerek feltörésére. Ez a diverzifikáció rávilágít arra, hogy a ransomware-csoportok hogyan porozzák be a különböző eszközkészleteket, és összetettebb, hibrid rosszindulatú programokat hoznak létre.

A Ransomware elleni csata

A ransomware támadások egyre összetettebbé válása ellenére történt néhány pozitív fejlemény. Például a Gen Digital kiadott egy dekódolót a Mallox ransomware-hez, amely lehetőséget kínál az áldozatoknak, hogy ingyenesen visszaszerezzék fájljaikat, ha egy korábbi változat érte őket. Bár ez nem minden zsarolóvírus-áldozat számára jelent megoldást, azt mutatja, hogy előrelépés történik a fenyegetések elleni küzdelemben.

Ezenkívül a Microsoft legutóbbi jelentése megjegyezte, hogy bár a zsarolóvírus-támadások általános mennyisége csökkent, az ember által működtetett zsarolóprogramok száma drámaian megnőtt. Ez az elmozdulás célzottabb támadásokra utal, ahol a kiberbűnözők aktívan irányítják tevékenységeiket, növelve a szervezetekre nehezedő nyomást az éberségre.

A Ransomware támadások folyamatosan fejlődnek, a támadók egyre gyakrabban élnek vissza a felhőszolgáltatásokkal, és erőfeszítéseiket olyan jól ismert nevek alatt álcázzák, mint a LockBit. E támadások egyre összetettebbé válása azt jelenti, hogy a szervezeteknek a játék előtt kell maradniuk, robusztus kiberbiztonsági intézkedésekbe fektetve, és óvatosnak kell lenniük a felmerülő fenyegetésekkel szemben. Míg egyes győzelmek, például a dekódolók kiadása lépést jelentenek a helyes irányba, a ransomware elleni küzdelem még korántsem ért véget.