Ransomware bandas izmanto LockBit reputāciju, lai radītu spiediena upurus jaunos uzbrukumos

Kibernoziedznieki nepārtraukti pilnveido savu taktiku, un viena no viņu jaunākajām stratēģijām ir izmantot bēdīgi slavenā LockBit izpirkuma programmatūras reputāciju, lai iebiedētu upurus. Nesenie uzbrukumi ir pieredzējuši, ka draudu dalībnieki izmanto Amazon S3 pārsūtīšanas paātrināšanas funkciju, lai izfiltrētu datus, izmantojot LockBit nosaukumu, lai radītu bailes, lai gan tā nav faktiski iesaistītā izpirkuma programmatūra.

Pieaugoša tendence: mākoņpakalpojumu ļaunprātīga izmantošana

Trend Micro drošības pētnieki ir novērojuši izspiedējvīrusu grupu pieaugumu, kas ļaunprātīgi izmanto Amazon Web Services (AWS). Uzbrucēji tagad savā ļaunprātīgajā programmatūrā iegulst AWS akreditācijas datus, lai efektīvāk nozagtu datus, augšupielādējot tos savā kontrolē esošajos S3 segmentos. Lai gan uzbrucēji var izmantot savus vai nozagtos AWS kontus, rezultāts ir tāds pats: sensitīvi dati nonāk viņu rokās. Par laimi, AWS ir rīkojusies ātri, apturot apdraudētos kontus, kad par to brīdināja Trend Micro.

Šī tendence liecina, ka kibernoziedznieki kļūst arvien prasmīgāki populāro mākoņpakalpojumu ierocē, lai veicinātu savus uzbrukumus. Trend Micro atklāja vairāk nekā 30 paraugus, kas satur AWS piekļuves atslēgas, kas liecina, ka šīs kampaņas ir aktīvas un paplašinās.

Maskēšana kā LockBit, lai pievilktu cilpu

Šajos uzbrukumos izspiedējvīrusu operatori mēģināja slēpt savu ļaunprātīgo programmatūru kā LockBit, kas ir bēdīgi slavens vārds izspiedējvīrusu pasaulē. Piesaucot LockBit vārdu, uzbrucēju mērķis bija radīt psiholoģisku spiedienu, liekot upuriem baiļu dēļ maksāt izpirkuma maksu. Golangā rakstītā izpirkuma programmatūra var inficēt gan Windows, gan macOS sistēmas, taču tā nav tieši saistīta ar sākotnējo LockBit grupu.

Pēc izpildes izpirkuma programmatūra satver mašīnas unikālo identifikatoru (UUID), kas tiek izmantots, lai ģenerētu galveno atslēgu failu šifrēšanai. Tas ir vērsts uz konkrētiem failu tipiem, izfiltrē tos uz AWS un pārdēvē failus procesā. Piemēram, fails ar nosaukumu "text.txt" kļūst par "text.txt..abcd" pēcšifrēšanu.

Visbeidzot, lai pastiprinātu baiļu faktoru, izpirkuma programmatūra maina upura fonu uz LockBit 2.0 ziņojumu, viltus saistot uzbrukumu ar labi zināmo izspiedējvīrusu grupu.

Ransomware's Evolving Threat Landscape

Šie notikumi notiek, jo izspiedējvīrusu ainava turpina mainīties. Lai gan LockBit ir vājinājuši starptautiskie tiesībaizsardzības centieni , citas grupas, piemēram, RansomHub, Qilin un Akira, iesaistās, lai aizpildītu tukšumu. Jo īpaši Akira ir atgriezusies pie dubultas izspiešanas taktikas, apvienojot datu zādzību ar šifrēšanu.

SentinelOne pētnieki arī atklāja, ka Mallox ransomware darbības saistītie uzņēmumi ir sākuši izmantot pārveidotas Kryptina ransomware versijas, lai pārkāptu Linux sistēmas. Šī dažādošana parāda, kā izspiedējvīrusu grupas savstarpēji apputeksnē dažādus rīkus un rada sarežģītākus, hibrīdus ļaunprātīgas programmatūras celmus.

Cīņa pret Ransomware

Neskatoties uz pieaugošo izspiedējvīrusu uzbrukumu sarežģītību, ir notikuši daži pozitīvi notikumi. Piemēram, uzņēmums Gen Digital izlaida Mallox izpirkuma programmatūras atšifrētāju, piedāvājot upuriem bez maksas atgūt savus failus, ja viņus skāra kāds agrāks variants. Lai gan tas nav risinājums visiem izspiedējvīrusu upuriem, tas liecina, ka tiek veikti sasniegumi cīņā pret šiem draudiem.

Turklāt Microsoft nesenajā ziņojumā ir norādīts, ka, lai gan kopējais izspiedējvīrusu uzbrukumu skaits ir samazinājies, cilvēku vadīti izpirkuma programmatūras incidenti ir dramatiski palielinājušies. Šī maiņa norāda uz mērķtiecīgākiem uzbrukumiem, kuros kibernoziedznieki aktīvi pārvalda savas darbības, palielinot spiedienu uz organizācijām, lai tās saglabātu modrību.

Ransomware uzbrukumi turpina attīstīties, uzbrucējiem arvien vairāk ļaunprātīgi izmantojot mākoņpakalpojumus un maskējot savus centienus ar labi zināmiem nosaukumiem, piemēram, LockBit. Šo uzbrukumu pieaugošā sarežģītība nozīmē, ka organizācijām ir jāpaliek spēles priekšgalā, jāiegulda stingros kiberdrošības pasākumos un jāsaglabā piesardzība pret jauniem draudiem. Lai gan dažas uzvaras, piemēram, atšifrētāju izlaišana, ir solis pareizajā virzienā, cīņa pret izspiedējvīrusiem nebūt nav beigusies.