Ransomware-gjenger utnytter LockBits rykte til å presse ofre i nye angrep

Cyberkriminelle utvikler stadig taktikken sin, og en av deres nyeste strategier innebærer å utnytte den beryktede LockBit løsepengevarens rykte for å skremme ofre. Nylige angrep har sett trusselaktører utnytte Amazon S3s Transfer Acceleration-funksjon for å eksfiltrere data, ved å bruke LockBits navn for å skape frykt, selv om det ikke er den faktiske løsepengevaren involvert.

En voksende trend: Misbruk av skytjenester

Sikkerhetsforskere fra Trend Micro har observert en økning i løsepengevaregrupper som misbruker Amazon Web Services (AWS). Angripere bygger nå inn AWS-legitimasjon i malware for å stjele data mer effektivt ved å laste det opp til S3-bøtter under deres kontroll. Mens angripere enten kan bruke sine egne eller stjålne AWS-kontoer, er resultatet det samme: sensitive data havner i hendene deres. Heldigvis har AWS handlet raskt og suspendert de kompromitterte kontoene en gang varslet av Trend Micro.

Denne trenden signaliserer at nettkriminelle blir dyktigere til å bevæpne populære skytjenester for å fremme angrepene deres. Trend Micro oppdaget over 30 prøver som inneholder AWS-tilgangsnøkler, noe som tyder på at disse kampanjene er aktive og utvides.

Forkledd som LockBit for å stramme løkken

I disse angrepene forsøkte ransomware-operatører å skjule skadelig programvare som LockBit, et beryktet navn i løsepenge-verdenen. Ved å påkalle LockBits navn, siktet angriperne på å legge til psykologisk press, noe som gjør ofrene mer sannsynlig å betale løsepenger av frykt. Løsepengevaren, skrevet i Golang, kan infisere både Windows- og macOS-systemer, men den er ikke direkte knyttet til den opprinnelige LockBit-gruppen.

Etter kjøring griper løsepengevaren en maskins unike identifikator (UUID), som brukes til å generere en hovednøkkel for kryptering av filer. Den retter seg mot spesifikke filtyper, eksfiltrerer dem til AWS og gir nytt navn til filer i prosessen. For eksempel blir en fil kalt "text.txt" til "text.txt..abcd" etter kryptering.

Til slutt, for å forsterke fryktfaktoren, endrer løsepengevaren offerets bakgrunnsbilde til en LockBit 2.0-melding, som feilaktig kobler angrepet til den velkjente løsepengevaregjengen.

Ransomwares Evolving Threat Landscape

Denne utviklingen kommer etter hvert som løsepengevarelandskapet fortsetter å skifte. Mens LockBit har blitt svekket av internasjonal rettshåndhevelse , går andre grupper som RansomHub, Qilin og Akira inn for å fylle tomrommet. Spesielt Akira har gått tilbake til dobbel utpressingstaktikk, og kombinerer datatyveri med kryptering.

SentinelOne-forskere avdekket også at tilknyttede selskaper til Mallox løsepenge-operasjon har begynt å bruke modifiserte versjoner av Kryptina-ransomware for å bryte Linux-systemer. Denne diversifiseringen fremhever hvordan løsepengevaregrupper krysspollinerer forskjellige verktøysett og skaper mer komplekse, hybride stammer av skadelig programvare.

Kampen mot løsepengevare

Til tross for den økende kompleksiteten til løsepengevare-angrep, har det vært en positiv utvikling. For eksempel ble en dekryptering for Mallox-ransomware utgitt av Gen Digital, og ga ofrene en sjanse til å gjenopprette filene sine gratis hvis de ble rammet av en tidligere variant. Selv om dette ikke er en løsning for alle løsepenge-ofre, viser det at det gjøres fremskritt i kampen mot disse truslene.

I tillegg bemerket Microsofts nylige rapport at mens det totale volumet av løsepengevare-angrep har gått ned, har menneskeopererte løsepengevarehendelser økt dramatisk. Dette skiftet peker mot mer målrettede angrep der nettkriminelle aktivt styrer sine operasjoner, noe som øker presset på organisasjoner til å være årvåkne.

Ransomware-angrep fortsetter å utvikle seg, med angripere som i økende grad misbruker skytjenester og skjuler innsatsen sin under kjente navn som LockBit. Den økende kompleksiteten til disse angrepene betyr at organisasjoner må være i forkant av spillet, investere i robuste cybersikkerhetstiltak og være forsiktige med nye trusler. Mens noen gevinster, som utgivelsen av dekrypteringer, er et skritt i riktig retning, er kampen mot løsepengevare langt fra over.