Le gang di ransomware sfruttano la reputazione di LockBit per fare pressione sulle vittime in nuovi attacchi
I criminali informatici stanno costantemente evolvendo le loro tattiche e una delle loro ultime strategie prevede di sfruttare la reputazione del famigerato ransomware LockBit per intimidire le vittime. Negli attacchi recenti, gli autori delle minacce hanno sfruttato la funzionalità Transfer Acceleration di Amazon S3 per esfiltrare dati, utilizzando il nome di LockBit per creare paura, anche se non è il ransomware in questione.
Una tendenza in crescita: l'uso improprio dei servizi cloud
I ricercatori di sicurezza di Trend Micro hanno osservato un aumento dei gruppi ransomware che abusano di Amazon Web Services (AWS). Gli aggressori ora stanno incorporando le credenziali AWS nel loro malware per rubare i dati in modo più efficiente caricandoli su bucket S3 sotto il loro controllo. Mentre gli aggressori possono usare i propri account AWS o quelli rubati, il risultato è lo stesso: i dati sensibili finiscono nelle loro mani. Fortunatamente, AWS ha agito rapidamente, sospendendo gli account compromessi una volta avvisati da Trend Micro.
Questa tendenza segnala che i criminali informatici stanno diventando sempre più abili nell'armare i servizi cloud più diffusi per promuovere i loro attacchi. Trend Micro ha scoperto oltre 30 campioni contenenti chiavi di accesso AWS, il che suggerisce che queste campagne sono attive e in espansione.
Travestirsi da LockBit per stringere il cappio
In questi attacchi, gli operatori di ransomware hanno tentato di camuffare il loro malware come LockBit, un nome noto nel mondo dei ransomware. Invocando il nome di LockBit, gli aggressori miravano ad aggiungere pressione psicologica, rendendo le vittime più propense a pagare il riscatto per paura. Il ransomware, scritto in Golang, può infettare sia i sistemi Windows che macOS, ma non è direttamente collegato al gruppo LockBit originale.
Dopo l'esecuzione, il ransomware cattura l'identificatore univoco (UUID) di una macchina, che viene utilizzato per generare una chiave master per la crittografia dei file. Prende di mira specifici tipi di file, li esfiltra in AWS e rinomina i file nel processo. Ad esempio, un file chiamato "text.txt" diventa "text.txt.
Infine, per aumentare il fattore paura, il ransomware cambia lo sfondo della vittima con un messaggio LockBit 2.0, collegando falsamente l'attacco alla nota gang di ransomware.
L'evoluzione del panorama delle minacce del ransomware
Questi sviluppi si verificano mentre il panorama dei ransomware continua a cambiare. Mentre LockBit è stato indebolito dagli sforzi delle forze dell'ordine internazionali , altri gruppi come RansomHub, Qilin e Akira stanno intervenendo per colmare il vuoto. Akira, in particolare, è tornato a tattiche di doppia estorsione, combinando il furto di dati con la crittografia.
I ricercatori di SentinelOne hanno anche scoperto che gli affiliati dell'operazione ransomware Mallox hanno iniziato a usare versioni modificate del ransomware Kryptina per violare i sistemi Linux. Questa diversificazione evidenzia come i gruppi ransomware stiano impollinando in modo incrociato diversi set di strumenti e creando ceppi di malware più complessi e ibridi.
La battaglia contro il ransomware
Nonostante la crescente complessità degli attacchi ransomware, ci sono stati alcuni sviluppi positivi. Ad esempio, Gen Digital ha rilasciato un decryptor per il ransomware Mallox, offrendo alle vittime la possibilità di recuperare gratuitamente i propri file se fossero state colpite da una variante precedente. Sebbene questa non sia una soluzione per tutte le vittime del ransomware, dimostra che si stanno facendo progressi nella lotta contro queste minacce.
Inoltre, il recente rapporto di Microsoft ha evidenziato che, mentre il volume complessivo degli attacchi ransomware è diminuito, gli incidenti ransomware gestiti da esseri umani sono aumentati drasticamente. Questo cambiamento indica attacchi più mirati in cui i criminali informatici gestiscono attivamente le loro operazioni, aumentando la pressione sulle organizzazioni affinché rimangano vigili.
Gli attacchi ransomware continuano a evolversi, con gli aggressori che abusano sempre di più dei servizi cloud e mascherano i loro sforzi sotto nomi noti come LockBit. La crescente complessità di questi attacchi significa che le organizzazioni devono rimanere al passo con i tempi, investendo in solide misure di sicurezza informatica e rimanendo caute di fronte alle minacce emergenti. Mentre alcune vittorie, come il rilascio di decryptor, sono un passo nella giusta direzione, la lotta contro il ransomware è tutt'altro che finita.