Ransomware-bendes misbruiken reputatie LockBit om slachtoffers onder druk te zetten in nieuwe aanvallen

Cybercriminelen ontwikkelen hun tactieken voortdurend en een van hun nieuwste strategieën is het misbruiken van de reputatie van de beruchte LockBit- ransomware om slachtoffers te intimideren. Bij recente aanvallen hebben cybercriminelen de Transfer Acceleration-functie van Amazon S3 misbruikt om gegevens te exfiltreren, waarbij ze de naam LockBit gebruiken om angst te creëren, ook al is het niet de daadwerkelijke ransomware.

Een groeiende trend: misbruik van clouddiensten

Beveiligingsonderzoekers van Trend Micro hebben een toename waargenomen in ransomwaregroepen die misbruik maken van Amazon Web Services (AWS). Aanvallers integreren nu AWS-referenties in hun malware om efficiënter gegevens te stelen door deze te uploaden naar S3-buckets onder hun controle. Hoewel aanvallers hun eigen of gestolen AWS-accounts kunnen gebruiken, is het resultaat hetzelfde: gevoelige gegevens komen in hun handen terecht. Gelukkig heeft AWS snel gehandeld door de gecompromitteerde accounts te schorsen nadat Trend Micro hen had gewaarschuwd.

Deze trend geeft aan dat cybercriminelen steeds bedrevener worden in het wapenen van populaire cloudservices om hun aanvallen uit te breiden. Trend Micro ontdekte meer dan 30 samples met AWS Access Keys, wat suggereert dat deze campagnes actief zijn en zich uitbreiden.

Vermomd als LockBit om de strop strakker te maken

Bij deze aanvallen probeerden ransomware-operators hun malware te vermommen als LockBit, een beruchte naam in de ransomwarewereld. Door de naam LockBit aan te roepen, wilden de aanvallers psychologische druk toevoegen, waardoor slachtoffers eerder geneigd zouden zijn om het losgeld te betalen uit angst. De ransomware, geschreven in Golang, kan zowel Windows- als macOS-systemen infecteren, maar is niet direct gelinkt aan de oorspronkelijke LockBit-groep.

Na uitvoering pakt de ransomware de unieke identificatie (UUID) van een machine, die wordt gebruikt om een hoofdsleutel te genereren voor het versleutelen van bestanden. Het richt zich op specifieke bestandstypen, exfiltreert ze naar AWS en hernoemt bestanden in het proces. Bijvoorbeeld, een bestand met de naam "text.txt" wordt "text.txt..abcd" na versleuteling.

Om de angst nog groter te maken, verandert de ransomware de achtergrond van het slachtoffer in een LockBit 2.0-bericht. Zo wordt de aanval ten onrechte in verband gebracht met de bekende ransomware-bende.

Het veranderende dreigingslandschap van ransomware

Deze ontwikkelingen komen terwijl het ransomwarelandschap blijft verschuiven. Terwijl LockBit is verzwakt door internationale wetshandhavingsinspanningen , springen andere groepen zoals RansomHub, Qilin en Akira in om de leegte te vullen. Akira in het bijzonder is teruggevallen op dubbele afpersingstactieken, waarbij datadiefstal wordt gecombineerd met encryptie.

SentinelOne-onderzoekers ontdekten ook dat partners van de Mallox-ransomwareoperatie aangepaste versies van Kryptina-ransomware zijn gaan gebruiken om Linux-systemen te hacken. Deze diversificatie benadrukt hoe ransomwaregroepen verschillende toolsets kruisbestuiven en complexere, hybride soorten malware creëren.

De strijd tegen ransomware

Ondanks de toenemende complexiteit van ransomware-aanvallen, zijn er ook positieve ontwikkelingen geweest. Zo is er een decryptor voor de Mallox-ransomware uitgebracht door Gen Digital, die slachtoffers de kans biedt om hun bestanden gratis te herstellen als ze zijn getroffen door een eerdere variant. Hoewel dit geen oplossing is voor alle ransomware-slachtoffers, laat het zien dat er vooruitgang wordt geboekt in de strijd tegen deze bedreigingen.

Bovendien merkte het recente rapport van Microsoft op dat hoewel het totale volume van ransomware-aanvallen is afgenomen, door mensen uitgevoerde ransomware-incidenten dramatisch zijn toegenomen. Deze verschuiving wijst op meer gerichte aanvallen waarbij cybercriminelen hun activiteiten actief beheren, waardoor de druk op organisaties om waakzaam te blijven toeneemt.

Ransomware-aanvallen blijven evolueren, waarbij aanvallers steeds vaker misbruik maken van cloudservices en hun inspanningen verhullen onder bekende namen zoals LockBit. De groeiende complexiteit van deze aanvallen betekent dat organisaties voorop moeten blijven lopen, moeten investeren in robuuste cyberbeveiligingsmaatregelen en voorzichtig moeten blijven met opkomende bedreigingen. Hoewel sommige overwinningen, zoals de release van decryptors, een stap in de goede richting zijn, is de strijd tegen ransomware nog lang niet voorbij.