Gangues de Ransomware Exploram a Reputação do LockBit para Pressionar Vítimas em Novos Ataques
Os cibercriminosos estão constantemente evoluindo suas táticas, e uma de suas estratégias mais recentes envolve alavancar a reputação do infame ransomware LockBit para intimidar as vítimas. Ataques recentes têm visto agentes de ameaças explorarem o recurso Transfer Acceleration do Amazon S3 para exfiltrar dados, usando o nome do LockBit para criar medo, mesmo que não seja o ransomware real envolvido.
Uma Tendência Crescente: O Uso Indevido de Serviços na Nuvem
Pesquisadores de segurança da Trend Micro observaram um aumento em grupos de ransomware abusando da Amazon Web Services (AWS). Os invasores agora estão incorporando credenciais da AWS em seu malware para roubar dados de forma mais eficiente, enviando-os para buckets S3 sob seu controle. Embora os invasores possam usar suas próprias contas da AWS ou contas roubadas, o resultado é o mesmo: dados confidenciais acabam em suas mãos. Felizmente, a AWS agiu rapidamente, suspendendo as contas comprometidas assim que alertada pela Trend Micro.
Essa tendência sinaliza que os cibercriminosos estão se tornando mais adeptos a usar serviços de nuvem populares como armas para promover seus ataques. A Trend Micro descobriu mais de 30 amostras contendo AWS Access Keys, sugerindo que essas campanhas estão ativas e se expandindo.
Disfarçando-se como o LockBit para Apertar o Nó
Nesses ataques, os operadores de ransomware tentaram disfarçar seu malware como LockBit, um nome notório no mundo do ransomware. Ao invocar o nome LockBit, os invasores visavam adicionar pressão psicológica, tornando as vítimas mais propensas a pagar o resgate por medo. O ransomware, escrito em Golang, pode infectar sistemas Windows e macOS, mas não está diretamente vinculado ao grupo LockBit original.
Após a execução, o ransomware captura o identificador exclusivo de uma máquina (UUID), que é usado para gerar uma chave mestra para criptografar arquivos. Ele tem como alvo tipos de arquivo específicos, os exfiltra para a AWS e renomeia os arquivos no processo. Por exemplo, um arquivo chamado "text.txt" se torna "text.txt..abcd" após a criptografia.
Por fim, para intensificar o fator medo, o ransomware altera o papel de parede da vítima para uma mensagem do LockBit 2.0, conectando falsamente o ataque à conhecida gangue de ransomware.
O Cenário de Ameaças em Evolução do Ransomware
Esses desenvolvimentos ocorrem à medida que o cenário de ransomware continua a mudar. Enquanto o LockBit foi enfraquecido pelos esforços internacionais de aplicação da lei, outros grupos como o RansomHub, Qilin e Akira estão entrando para preencher o vazio. Akira, em particular, voltou a táticas de extorsão dupla, combinando roubo de dados com criptografia.
Os pesquisadores do SentinelOne também descobriram que afiliados da operação de ransomware Mallox começaram a usar versões modificadas do ransomware Kryptina para violar sistemas Linux. Essa diversificação destaca como os grupos de ransomware estão polinizando diferentes conjuntos de ferramentas e criando cepas de malware mais complexas e híbridas.
A Batalha contra o Ransomware
Apesar da crescente complexidade dos ataques de ransomware, houve alguns desenvolvimentos positivos. Por exemplo, um descriptografador para o ransomware Mallox foi lançado pela Gen Digital, oferecendo às vítimas uma chance de recuperar seus arquivos de graça se elas foram atingidas por uma variante anterior. Embora esta não seja uma solução para todas as vítimas de ransomware, mostra que avanços estão sendo feitos no combate a essas ameaças.
Além disso, o relatório recente da Microsoft observou que, embora o volume geral de ataques de ransomware tenha diminuído, os incidentes de ransomware operados por humanos aumentaram drasticamente. Essa mudança aponta para ataques mais direcionados, onde os cibercriminosos gerenciam ativamente suas operações, aumentando a pressão sobre as organizações para permanecerem vigilantes.
Os ataques de ransomware continuam a evoluir, com os invasores abusando cada vez mais dos serviços de nuvem e disfarçando seus esforços sob nomes bem conhecidos como LockBit. A crescente complexidade desses ataques significa que as organizações precisam ficar à frente do jogo, investindo em medidas robustas de segurança cibernética e permanecendo cautelosas com as ameaças emergentes. Embora algumas vitórias, como o lançamento de descriptografadores, sejam um passo na direção certa, a luta contra o ransomware está longe de terminar.