Банды, занимающиеся вирусами-вымогателями, используют репутацию LockBit для давления на жертв в новых атаках

Киберпреступники постоянно совершенствуют свою тактику, и одна из их последних стратегий заключается в использовании репутации печально известного вымогателя LockBit для запугивания жертв. В ходе недавних атак злоумышленники использовали функцию ускорения передачи Amazon S3 для извлечения данных, используя имя LockBit для создания страха, хотя это не был сам вымогатель.

Растущая тенденция: неправильное использование облачных сервисов

Исследователи безопасности из Trend Micro отметили рост числа групп вирусов-вымогателей , злоупотребляющих Amazon Web Services (AWS). Теперь злоумышленники встраивают учетные данные AWS в свои вредоносные программы, чтобы эффективнее красть данные, загружая их в подконтрольные им хранилища S3. Хотя злоумышленники могут использовать как собственные, так и украденные учетные записи AWS, результат один и тот же: конфиденциальные данные оказываются в их руках. К счастью, AWS отреагировала быстро, приостановив действие скомпрометированных учетных записей после получения оповещения от Trend Micro.

Эта тенденция свидетельствует о том, что киберпреступники становятся все более искусными в использовании популярных облачных сервисов в качестве оружия для своих атак. Trend Micro обнаружила более 30 образцов, содержащих ключи доступа AWS, что говорит об активности и расширении этих кампаний.

Маскировка под LockBit, чтобы затянуть петлю

В этих атаках операторы программ-вымогателей пытались замаскировать свое вредоносное ПО под LockBit, печально известное имя в мире программ-вымогателей. Используя имя LockBit, злоумышленники стремились оказать психологическое давление, заставив жертву с большей вероятностью заплатить выкуп из страха. Программа-вымогатель, написанная на Golang, может заражать как системы Windows, так и macOS, но она не связана напрямую с исходной группой LockBit.

После выполнения программа-вымогатель захватывает уникальный идентификатор машины (UUID), который используется для генерации главного ключа для шифрования файлов. Она нацелена на определенные типы файлов, переносит их в AWS и переименовывает файлы в процессе. Например, файл с именем "text.txt" становится "text.txt..abcd" после шифрования.

Наконец, чтобы усилить фактор страха, вирус-вымогатель меняет обои жертвы на сообщение LockBit 2.0, ложно связывая атаку с известной бандой вымогателей.

Развитие угроз от программ-вымогателей

Эти события происходят на фоне продолжающихся изменений в ландшафте программ-вымогателей. В то время как LockBit был ослаблен международными усилиями правоохранительных органов , другие группы, такие как RansomHub, Qilin и Akira, выходят на сцену, чтобы заполнить пустоту. Akira, в частности, вернулась к двойной тактике вымогательства, сочетая кражу данных с шифрованием.

Исследователи SentinelOne также обнаружили, что аффилированные лица операции Mallox ransomware начали использовать модифицированные версии Kryptina ransomware для взлома систем Linux. Эта диверсификация подчеркивает, как группы ransomware перекрестно опыляют различные наборы инструментов и создают более сложные, гибридные штаммы вредоносного ПО.

Битва с программами-вымогателями

Несмотря на растущую сложность атак программ-вымогателей, есть и некоторые позитивные изменения. Например, Gen Digital выпустила дешифратор для программы-вымогателя Mallox, предлагающий жертвам возможность бесплатно восстановить свои файлы, если они были поражены более ранней версией. Хотя это не решение для всех жертв программ-вымогателей, оно показывает, что в борьбе с этими угрозами есть прогресс.

Кроме того, в недавнем отчете Microsoft отмечено, что хотя общий объем атак с использованием программ-вымогателей снизился, число инцидентов с использованием программ-вымогателей, управляемых человеком, резко возросло. Этот сдвиг указывает на более целенаправленные атаки, в которых киберпреступники активно управляют своими операциями, что увеличивает давление на организации, заставляя их сохранять бдительность.

Атаки с использованием программ-вымогателей продолжают развиваться, при этом злоумышленники все чаще злоупотребляют облачными сервисами и маскируют свои действия под известными именами, такими как LockBit. Растущая сложность этих атак означает, что организациям необходимо оставаться впереди, инвестируя в надежные меры кибербезопасности и оставаясь осторожными в отношении возникающих угроз. Хотя некоторые победы, такие как выпуск дешифраторов, являются шагом в правильном направлении, борьба с программами-вымогателями далека от завершения.