Geng Ransomware Mengeksploitasi Reputasi LockBit untuk Menekan Mangsa dalam Serangan Baharu
Penjenayah siber sentiasa mengembangkan taktik mereka, dan salah satu strategi terbaru mereka melibatkan memanfaatkan reputasi perisian tebusan LockBit yang terkenal untuk menakut-nakutkan mangsa. Serangan baru-baru ini telah menyaksikan pelakon ancaman mengeksploitasi ciri Pemindahan Pemindahan Amazon S3 untuk mengeluarkan data, menggunakan nama LockBit untuk menimbulkan ketakutan, walaupun ia bukan perisian tebusan sebenar yang terlibat.
Arah Aliran Yang Berkembang: Menyalahgunakan Perkhidmatan Awan
Penyelidik keselamatan dari Trend Micro telah melihat peningkatan dalam kumpulan perisian tebusan yang menyalahgunakan Perkhidmatan Web Amazon (AWS). Penyerang kini membenamkan bukti kelayakan AWS dalam perisian hasad mereka untuk mencuri data dengan lebih cekap dengan memuat naiknya ke baldi S3 di bawah kawalan mereka. Walaupun penyerang boleh sama ada menggunakan akaun AWS mereka sendiri atau dicuri, hasilnya adalah sama: data sensitif berakhir di tangan mereka. Syukurlah, AWS telah bertindak pantas, menggantung akaun yang terjejas setelah dimaklumkan oleh Trend Micro.
Aliran ini memberi isyarat bahawa penjenayah siber semakin mahir mempersenjatai perkhidmatan awan popular untuk meneruskan serangan mereka. Trend Micro menemui lebih 30 sampel yang mengandungi Kunci Akses AWS, mencadangkan kempen ini aktif dan berkembang.
Menyamar sebagai LockBit untuk Mengetatkan Tali gantung
Dalam serangan ini, pengendali perisian tebusan cuba untuk menyamarkan perisian hasad mereka sebagai LockBit, nama yang terkenal dalam dunia perisian tebusan. Dengan menggunakan nama LockBit, penyerang bertujuan untuk menambah tekanan psikologi, menjadikan mangsa lebih cenderung untuk membayar wang tebusan kerana ketakutan. Perisian tebusan, yang ditulis dalam Golang, boleh menjangkiti kedua-dua sistem Windows dan macOS, tetapi ia tidak dipautkan secara langsung kepada kumpulan LockBit yang asal.
Selepas pelaksanaan, perisian tebusan merebut pengecam unik mesin (UUID), yang digunakan untuk menjana kunci induk untuk menyulitkan fail. Ia menyasarkan jenis fail tertentu, mengeluarkannya kepada AWS, dan menamakan semula fail dalam proses. Contohnya, fail yang dipanggil "text.txt" menjadi "text.txt.
Akhir sekali, untuk meningkatkan faktor ketakutan, perisian tebusan menukar kertas dinding mangsa kepada mesej LockBit 2.0, secara palsu menghubungkan serangan itu kepada kumpulan perisian tebusan yang terkenal.
Landskap Ancaman yang Berkembang Ransomware
Perkembangan ini berlaku apabila landskap perisian tebusan terus berubah. Walaupun LockBit telah dilemahkan oleh usaha penguatkuasaan undang-undang antarabangsa , kumpulan lain seperti RansomHub, Qilin dan Akira melangkah masuk untuk mengisi kekosongan itu. Akira, khususnya, telah kembali kepada taktik peras ugut berganda, menggabungkan kecurian data dengan penyulitan.
Penyelidik SentinelOne juga mendapati bahawa ahli gabungan operasi perisian tebusan Mallox telah mula menggunakan versi perisian tebusan Kryptina yang diubah suai untuk melanggar sistem Linux. Kepelbagaian ini menyerlahkan cara kumpulan perisian tebusan melakukan pendebungaan silang set alat yang berbeza dan mencipta jenis perisian hasad hibrid yang lebih kompleks.
Pertempuran Menentang Ransomware
Walaupun peningkatan kerumitan serangan ransomware, terdapat beberapa perkembangan positif. Sebagai contoh, penyahsulit untuk perisian tebusan Mallox telah dikeluarkan oleh Gen Digital, menawarkan mangsa peluang untuk memulihkan fail mereka secara percuma jika mereka terkena varian terdahulu. Walaupun ini bukan penyelesaian untuk semua mangsa perisian tebusan, ini menunjukkan bahawa kemajuan sedang dibuat dalam memerangi ancaman ini.
Selain itu, laporan terbaru Microsoft menyatakan bahawa walaupun jumlah keseluruhan serangan ransomware telah menurun, insiden perisian tebusan yang dikendalikan manusia telah meningkat secara mendadak. Peralihan ini menunjukkan kepada serangan yang lebih disasarkan di mana penjenayah siber secara aktif menguruskan operasi mereka, meningkatkan tekanan ke atas organisasi untuk terus berwaspada.
Serangan perisian ransomware terus berkembang, dengan penyerang semakin menyalahgunakan perkhidmatan awan dan menyamarkan usaha mereka di bawah nama terkenal seperti LockBit. Kerumitan serangan ini yang semakin meningkat bermakna organisasi perlu terus mendahului permainan, melabur dalam langkah keselamatan siber yang teguh dan kekal berhati-hati terhadap ancaman yang muncul. Walaupun beberapa kemenangan, seperti pelepasan penyahsulit, adalah satu langkah ke arah yang betul, perjuangan menentang perisian tebusan masih belum selesai.