Ransomware gaujos išnaudoja „LockBit“ reputaciją, siekdamos spaudimo aukoms per naujus išpuolius

Kibernetiniai nusikaltėliai nuolat tobulina savo taktiką, o viena iš naujausių jų strategijų yra panaudoti liūdnai pagarsėjusios išpirkos reikalaujančios programos „LockBit“ reputaciją, siekiant įbauginti aukas. Pastarųjų atakų metu grėsmės veikėjai naudojasi „Amazon S3 Transfer Acceleration“ funkcija, kad išfiltruotų duomenis, naudodami „LockBit“ pavadinimą, kad sukurtų baimę, nors tai ir nėra išpirkos reikalaujančios programos.

Auganti tendencija: netinkamas debesų paslaugų naudojimas

Saugumo tyrinėtojai iš Trend Micro pastebėjo, kad daugėja išpirkos reikalaujančių grupių, piktnaudžiaujančių Amazon Web Services (AWS). Užpuolikai dabar įterpia AWS kredencialus į savo kenkėjiškas programas, kad galėtų efektyviau pavogti duomenis, įkeldami juos į savo kontroliuojamus S3 segmentus. Nors užpuolikai gali naudoti savo arba pavogtas AWS paskyras, rezultatas yra tas pats: neskelbtini duomenys patenka į jų rankas. Laimei, AWS veikė greitai ir sustabdė pažeistas paskyras, kai tik apie tai pranešė Trend Micro.

Ši tendencija rodo, kad kibernetiniai nusikaltėliai vis labiau įgudo ginkluoti populiarias debesijos paslaugas, kad galėtų tęsti atakas. „Trend Micro“ aptiko daugiau nei 30 pavyzdžių, kuriuose yra AWS prieigos raktų, o tai rodo, kad šios kampanijos yra aktyvios ir plečiasi.

Užmaskuoti kaip „LockBit“, kad priveržtumėte kilpą

Šių atakų metu išpirkos reikalaujančių programų operatoriai bandė užmaskuoti savo kenkėjiškas programas kaip LockBit, žinomą pavadinimą išpirkos reikalaujančių programų pasaulyje. Remdamiesi LockBit vardu, užpuolikai siekė padidinti psichologinį spaudimą, todėl aukos labiau linkusios sumokėti išpirką iš baimės. „Golang“ parašyta išpirkos reikalaujanti programa gali užkrėsti „Windows“ ir „MacOS“ sistemas, tačiau ji nėra tiesiogiai susieta su pradine „LockBit“ grupe.

Po vykdymo išpirkos reikalaujanti programa paima mašinos unikalų identifikatorių (UUID), kuris naudojamas pagrindiniam failų šifravimo raktui sugeneruoti. Jis nukreipiamas į konkrečius failų tipus, išfiltruoja juos į AWS ir proceso metu pervadina failus. Pavyzdžiui, failas pavadinimu "text.txt" tampa "text.txt..abcd" pošifravimu.

Galiausiai, norėdama sustiprinti baimės veiksnį, išpirkos reikalaujanti programa pakeičia aukos ekrano užsklandą į LockBit 2.0 pranešimą, klaidingai susiedama ataką su gerai žinoma ransomware gauja.

„Ransomware“ besivystantis grėsmės kraštovaizdis

Šie pokyčiai atsiranda, kai išpirkos reikalaujančių programų aplinka ir toliau keičiasi. Nors „LockBit“ susilpnino tarptautinės teisėsaugos pastangos , kitos grupės, tokios kaip „RansomHub“, „Qilin“ ir „Akira“, imasi užpildyti tuštumą. Visų pirma Akira grįžo prie dvigubo turto prievartavimo taktikos, derindama duomenų vagystę su šifravimu.

„SentinelOne“ tyrėjai taip pat atskleidė, kad „Mallox“ ransomware operacijos filialai pradėjo naudoti modifikuotas „Kryptina“ išpirkos reikalaujančios programos versijas, kad pažeistų „Linux“ sistemas. Šis diversifikavimas parodo, kaip išpirkos reikalaujančių programų grupės kryžmiškai apdulkina skirtingus įrankių rinkinius ir sukuria sudėtingesnes hibridines kenkėjiškų programų atmainas.

Mūšis su Ransomware

Nepaisant didėjančio išpirkos reikalaujančių programų atakų sudėtingumo, įvyko keletas teigiamų pokyčių. Pavyzdžiui, „Gen Digital“ išleido „Mallox“ išpirkos reikalaujančios programinės įrangos iššifravimo priemonę, suteikdama aukoms galimybę nemokamai atkurti failus, jei jas nukentėjo ankstesnis variantas. Nors tai nėra sprendimas visoms išpirkos programinės įrangos aukoms, tai rodo, kad kovojant su šiomis grėsmėmis daroma pažanga.

Be to, naujausioje „Microsoft“ ataskaitoje pažymima, kad nors bendras išpirkos reikalaujančių programų atakų skaičius sumažėjo, žmonių sukeltų išpirkos reikalaujančių programų incidentų labai padaugėjo. Šis pokytis rodo tikslingesnes atakas, kurių metu kibernetiniai nusikaltėliai aktyviai valdo savo veiklą, padidindami spaudimą organizacijoms išlikti budrioms.

Ransomware atakos ir toliau vystosi, užpuolikai vis dažniau piktnaudžiauja debesijos paslaugomis ir savo pastangas maskuoja gerai žinomais pavadinimais, tokiais kaip LockBit. Didėjantis šių atakų sudėtingumas reiškia, kad organizacijos turi išlikti priešakyje, investuoti į patikimas kibernetinio saugumo priemones ir išlikti atsargiems dėl kylančių grėsmių. Nors kai kurie laimėjimai, pavyzdžiui, iššifratorių išleidimas, yra žingsnis teisinga kryptimi, kova su išpirkos programomis toli gražu nesibaigė.