Gangi ransomware wykorzystują reputację LockBit, aby wywierać presję na ofiary w nowych atakach
Cyberprzestępcy nieustannie udoskonalają swoje taktyki, a jedną z ich najnowszych strategii jest wykorzystanie reputacji niesławnego ransomware LockBit do zastraszania ofiar. W ostatnich atakach sprawcy zagrożeń wykorzystali funkcję Transfer Acceleration Amazon S3 do eksfiltracji danych, używając nazwy LockBit do wzbudzania strachu, mimo że nie jest to rzeczywisty ransomware.
Rosnący trend: niewłaściwe korzystanie z usług w chmurze
Badacze bezpieczeństwa z Trend Micro zaobserwowali wzrost liczby grup ransomware nadużywających Amazon Web Services (AWS). Atakujący osadzają teraz poświadczenia AWS w swoim złośliwym oprogramowaniu, aby skuteczniej kraść dane, przesyłając je do kontenerów S3 pod ich kontrolą. Chociaż atakujący mogą używać własnych lub skradzionych kont AWS, wynik jest taki sam: poufne dane trafiają w ich ręce. Na szczęście AWS zareagował szybko, zawieszając naruszone konta po otrzymaniu alertu od Trend Micro.
Ten trend sygnalizuje, że cyberprzestępcy stają się coraz bardziej biegli w wykorzystywaniu popularnych usług w chmurze do dalszych ataków. Trend Micro odkrył ponad 30 próbek zawierających klucze dostępu AWS, co sugeruje, że te kampanie są aktywne i się rozwijają.
Maskowanie się jako LockBit w celu zaciśnięcia pętli
W tych atakach operatorzy ransomware próbowali ukryć swoje złośliwe oprogramowanie pod nazwą LockBit, znaną nazwą w świecie ransomware. Powołując się na nazwę LockBit, atakujący chcieli dodać presji psychologicznej, sprawiając, że ofiary będą bardziej skłonne zapłacić okup ze strachu. Ransomware, napisany w Golang, może zainfekować zarówno systemy Windows, jak i macOS, ale nie jest bezpośrednio powiązany z oryginalną grupą LockBit.
Po wykonaniu ransomware przechwytuje unikalny identyfikator maszyny (UUID), który jest używany do generowania klucza głównego do szyfrowania plików. Wybiera określone typy plików, eksfiltruje je do AWS i zmienia nazwy plików w trakcie tego procesu. Na przykład plik o nazwie „text.txt” staje się „text.txt.
Na koniec, aby zwiększyć poczucie strachu, ransomware zmienia tapetę ofiary na wiadomość LockBit 2.0, fałszywie łącząc atak ze znaną grupą ransomware.
Ewoluujący krajobraz zagrożeń ransomware
Te wydarzenia następują, gdy krajobraz ransomware nadal się zmienia. Podczas gdy LockBit został osłabiony przez międzynarodowe działania organów ścigania , inne grupy, takie jak RansomHub, Qilin i Akira, wkraczają, aby wypełnić pustkę. Akira w szczególności powróciła do taktyki podwójnego wymuszenia, łącząc kradzież danych z szyfrowaniem.
Badacze SentinelOne odkryli również, że podmioty powiązane z operacją ransomware Mallox zaczęły używać zmodyfikowanych wersji ransomware Kryptina do łamania systemów Linux. Ta dywersyfikacja podkreśla, w jaki sposób grupy ransomware krzyżują różne zestawy narzędzi i tworzą bardziej złożone, hybrydowe szczepy złośliwego oprogramowania.
Walka z oprogramowaniem ransomware
Pomimo rosnącej złożoności ataków ransomware, nastąpiły pewne pozytywne zmiany. Na przykład Gen Digital wydał deszyfrator ransomware Mallox, oferując ofiarom szansę na bezpłatne odzyskanie plików, jeśli zostały zaatakowane przez wcześniejszą odmianę. Chociaż nie jest to rozwiązanie dla wszystkich ofiar ransomware, pokazuje, że poczyniono postępy w walce z tymi zagrożeniami.
Ponadto, w niedawnym raporcie Microsoftu zauważono, że podczas gdy ogólna liczba ataków ransomware spadła, liczba ataków ransomware przeprowadzanych przez ludzi dramatycznie wzrosła. Ta zmiana wskazuje na bardziej ukierunkowane ataki, w których cyberprzestępcy aktywnie zarządzają swoimi operacjami, zwiększając presję na organizacje, aby pozostały czujne.
Ataki ransomware wciąż ewoluują, a atakujący coraz częściej nadużywają usług w chmurze i maskują swoje działania pod znanymi nazwami, takimi jak LockBit. Rosnąca złożoność tych ataków oznacza, że organizacje muszą wyprzedzać konkurencję, inwestować w solidne środki cyberbezpieczeństwa i zachować ostrożność w obliczu pojawiających się zagrożeń. Podczas gdy niektóre zwycięstwa, takie jak wydanie deszyfratorów, są krokiem we właściwym kierunku, walka z ransomware jest daleka od zakończenia.