Ransomvérové gangy využívajú povesť LockBitu na nátlak na obete pri nových útokoch

Kyberzločinci neustále vyvíjajú svoje taktiky a jedna z ich najnovších stratégií zahŕňa využitie neslávne známeho ransomvéru LockBit na zastrašovanie obetí. Nedávne útoky videli, ako aktéri hrozieb využívajú funkciu prenosovej akcelerácie Amazon S3 na exfiltráciu údajov, pričom používajú meno LockBit na vyvolanie strachu, aj keď nejde o skutočný ransomvér.

Rastúci trend: Zneužívanie cloudových služieb

Bezpečnostní výskumníci z Trend Micro zaznamenali nárast skupín ransomvéru zneužívajúcich Amazon Web Services (AWS). Útočníci teraz vkladajú poverenia AWS do svojho malvéru, aby mohli efektívnejšie kradnúť údaje tým, že ich nahrávajú do bucketov S3 pod ich kontrolou. Aj keď útočníci môžu použiť svoje vlastné alebo ukradnuté účty AWS, výsledok je rovnaký: citlivé údaje skončia v ich rukách. Našťastie AWS konala rýchlo a po upozornení Trend Micro pozastavila napadnuté účty.

Tento trend signalizuje, že kybernetickí zločinci sa stávajú šikovnejšími v ozbrojovaní populárnych cloudových služieb na podporu svojich útokov. Spoločnosť Trend Micro objavila viac ako 30 vzoriek obsahujúcich prístupové kľúče AWS, čo naznačuje, že tieto kampane sú aktívne a rozširujú sa.

Prezlečenie za LockBit na utiahnutie slučky

V týchto útokoch sa prevádzkovatelia ransomvéru pokúšali zamaskovať svoj malvér ako LockBit, notoricky známy názov vo svete ransomvéru. Útočníci sa odvolávaním mena LockBit zamerali na zvýšenie psychického nátlaku, čím sa zvýšila pravdepodobnosť, že obete zaplatia výkupné zo strachu. Ransomvér napísaný v Golangu môže infikovať systémy Windows aj MacOS, ale nie je priamo spojený s pôvodnou skupinou LockBit.

Po spustení ransomvér získa jedinečný identifikátor zariadenia (UUID), ktorý sa používa na generovanie hlavného kľúča na šifrovanie súborov. Zameriava sa na konkrétne typy súborov, exfiltruje ich do AWS a premenúva súbory v procese. Napríklad súbor s názvom „text.txt“ sa po zašifrovaní zmení na „text.txt..abcd“.

Nakoniec, aby sa zintenzívnil faktor strachu, ransomvér zmení tapetu obete na správu LockBit 2.0, čím falošne spája útok so známym ransomvérovým gangom.

Vyvíjajúca sa krajina hrozieb ransomvéru

Tento vývoj prichádza s tým, ako sa krajina ransomvéru neustále mení. Zatiaľ čo LockBit bol oslabený medzinárodným úsilím o presadzovanie práva , ďalšie skupiny ako RansomHub, Qilin a Akira zasahujú, aby zaplnili prázdnotu. Najmä Akira sa vrátila k dvojitej vydieračskej taktike, ktorá kombinuje krádež dát so šifrovaním.

Výskumníci SentinelOne tiež odhalili, že pobočky ransomvéru Mallox začali používať upravené verzie ransomvéru Kryptina na prelomenie systémov Linux. Táto diverzifikácia poukazuje na to, ako skupiny ransomvéru krížovo opeľujú rôzne sady nástrojov a vytvárajú zložitejšie hybridné kmene malvéru.

Boj proti ransomvéru

Napriek zvyšujúcej sa zložitosti útokov ransomware došlo k určitému pozitívnemu vývoju. Napríklad spoločnosť Gen Digital vydala dešifrovací nástroj pre ransomvér Mallox, ktorý obetiam ponúka možnosť bezplatne obnoviť svoje súbory, ak ich zasiahne starší variant. Aj keď to nie je riešenie pre všetky obete ransomvéru, ukazuje to, že v boji proti týmto hrozbám sa robia pokroky.

Nedávna správa spoločnosti Microsoft navyše uvádza, že zatiaľ čo celkový objem útokov ransomvéru sa znížil, počet incidentov s ransomvérom spôsobených ľuďmi sa dramaticky zvýšil. Tento posun poukazuje na cielenejšie útoky, pri ktorých kyberzločinci aktívne riadia svoje operácie, čím sa zvyšuje tlak na organizácie, aby zostali ostražité.

Ransomvérové útoky sa naďalej vyvíjajú, pričom útočníci čoraz viac zneužívajú cloudové služby a svoje snahy maskujú pod známe mená ako LockBit. Rastúca zložitosť týchto útokov znamená, že organizácie musia zostať na čele, investovať do robustných opatrení kybernetickej bezpečnosti a byť opatrné voči vznikajúcim hrozbám. Zatiaľ čo niektoré výhry, ako napríklad uvoľnenie dešifrovačov, sú krokom správnym smerom, boj proti ransomvéru sa ani zďaleka nekončí.