Gang-urile de ransomware exploatează reputația LockBit pentru a face presiune asupra victimelor în noile atacuri
Criminalii cibernetici își dezvoltă în mod constant tacticile, iar una dintre cele mai recente strategii implică valorificarea reputației infamului ransomware LockBit pentru a intimida victimele. Atacurile recente au văzut actori de amenințări exploatând funcția de accelerare a transferului de la Amazon S3 pentru a exfiltra datele, folosind numele LockBit pentru a crea teamă, chiar dacă nu este ransomware-ul propriu-zis implicat.
O tendință în creștere: utilizarea greșită a serviciilor cloud
Cercetătorii de securitate de la Trend Micro au observat o creștere a grupurilor de ransomware care abuzează de Amazon Web Services (AWS). Atacatorii încorporează acum acreditările AWS în malware-ul lor pentru a fura datele mai eficient, încărcându-le în compartimentele S3 sub controlul lor. În timp ce atacatorii își pot folosi conturile AWS proprii sau furate, rezultatul este același: datele sensibile ajung în mâinile lor. Din fericire, AWS a acționat rapid, suspendând conturile compromise odată alertate de Trend Micro.
Această tendință semnalează faptul că infractorii cibernetici devin din ce în ce mai pricepuți să armeze serviciile cloud populare pentru a-și continua atacurile. Trend Micro a descoperit peste 30 de mostre care conțin chei de acces AWS, sugerând că aceste campanii sunt active și se extind.
Deghizat în LockBit pentru a strânge lațul
În aceste atacuri, operatorii de ransomware au încercat să-și deghizeze malware-ul ca LockBit, un nume notoriu în lumea ransomware. Invocând numele lui LockBit, atacatorii au urmărit să adauge presiune psihologică, făcând victimele mai predispuse să plătească răscumpărarea de frică. Ransomware-ul, scris în Golang, poate infecta atât sistemele Windows, cât și macOS, dar nu este direct legat de grupul original LockBit.
După execuție, ransomware-ul preia identificatorul unic al unei mașini (UUID), care este folosit pentru a genera o cheie principală pentru criptarea fișierelor. Acesta vizează anumite tipuri de fișiere, le exfiltrează în AWS și redenumește fișierele în acest proces. De exemplu, un fișier numit „text.txt” devine „text.txt.
În cele din urmă, pentru a intensifica factorul frică, ransomware-ul schimbă imaginea de fundal a victimei într-un mesaj LockBit 2.0, conectând în mod fals atacul la binecunoscuta bandă de ransomware.
Peisajul amenințărilor în evoluție al ransomware-ului
Aceste evoluții apar pe măsură ce peisajul ransomware continuă să se schimbe. În timp ce LockBit a fost slăbit de eforturile internaționale de aplicare a legii , alte grupuri precum RansomHub, Qilin și Akira intervin pentru a umple golul. Akira, în special, a revenit la tactici de dublă extorcare, combinând furtul de date cu criptarea.
Cercetătorii SentinelOne au descoperit, de asemenea, că afiliații operațiunii de ransomware Mallox au început să folosească versiuni modificate ale ransomware-ului Kryptina pentru a încălca sistemele Linux. Această diversificare evidențiază modul în care grupurile de ransomware polenizează încrucișat diferite seturi de instrumente și creează tulpini mai complexe, hibride de malware.
Bătălia împotriva ransomware-ului
În ciuda complexității tot mai mari a atacurilor ransomware, au existat unele evoluții pozitive. De exemplu, Gen Digital a lansat un decriptor pentru ransomware-ul Mallox, oferind victimelor șansa de a-și recupera fișierele gratuit dacă au fost lovite de o variantă anterioară. Deși aceasta nu este o soluție pentru toate victimele ransomware, arată că se fac progrese în lupta împotriva acestor amenințări.
În plus, raportul recent al Microsoft a menționat că, în timp ce volumul total de atacuri ransomware a scăzut, incidentele de ransomware operate de oameni au crescut dramatic. Această schimbare indică atacuri mai direcționate în care infractorii cibernetici își gestionează activ operațiunile, crescând presiunea asupra organizațiilor pentru a rămâne vigilente.
Atacurile ransomware continuă să evolueze, atacatorii abuzând din ce în ce mai mult de serviciile cloud și ascund eforturile lor sub nume binecunoscute precum LockBit. Complexitatea tot mai mare a acestor atacuri înseamnă că organizațiile trebuie să rămână în fruntea jocului, investind în măsuri solide de securitate cibernetică și rămânând precaute la amenințările emergente. În timp ce unele câștiguri, cum ar fi lansarea de decriptoare, sunt un pas în direcția corectă, lupta împotriva ransomware-ului este departe de a fi încheiată.