Združbe izsiljevalske programske opreme izkoriščajo ugled LockBita za pritisk na žrtve v novih napadih
Kibernetski kriminalci nenehno razvijajo svoje taktike in ena od njihovih najnovejših strategij vključuje izkoriščanje ugleda zloglasne izsiljevalske programske opreme LockBit za ustrahovanje žrtev. V nedavnih napadih so akterji groženj izkoristili funkcijo pospeševanja prenosa Amazon S3 za izločanje podatkov, pri čemer so uporabili ime LockBit za ustvarjanje strahu, čeprav ne gre za dejansko vpleteno izsiljevalsko programsko opremo.
Naraščajoči trend: zloraba storitev v oblaku
Varnostni raziskovalci iz podjetja Trend Micro so opazili porast skupin izsiljevalske programske opreme, ki zlorabljajo spletne storitve Amazon (AWS). Napadalci zdaj v svojo zlonamerno programsko opremo vgrajujejo poverilnice AWS, da bi učinkoviteje ukradli podatke, tako da jih naložijo v vedra S3 pod njihovim nadzorom. Medtem ko lahko napadalci uporabijo svoje lastne ali ukradene račune AWS, je rezultat enak: občutljivi podatki končajo v njihovih rokah. K sreči je AWS hitro ukrepal in začasno zaustavil ogrožene račune, ko jih je opozoril Trend Micro.
Ta trend nakazuje, da kibernetski kriminalci postajajo vse bolj spretni pri orožju priljubljenih storitev v oblaku za pospeševanje svojih napadov. Trend Micro je odkril več kot 30 vzorcev, ki vsebujejo dostopne ključe AWS, kar nakazuje, da so te kampanje aktivne in se širijo.
Preobleka v LockBit za zategovanje zanke
V teh napadih so operaterji izsiljevalske programske opreme poskušali svojo zlonamerno programsko opremo prikriti kot LockBit, razvpito ime v svetu izsiljevalske programske opreme. S sklicevanjem na ime LockBit so napadalci želeli povečati psihološki pritisk, zaradi česar je večja verjetnost, da bodo žrtve zaradi strahu plačale odkupnino. Izsiljevalska programska oprema, napisana v Golangu, lahko okuži sisteme Windows in macOS, vendar ni neposredno povezana z izvirno skupino LockBit.
Po izvedbi izsiljevalska programska oprema zgrabi enolični identifikator računalnika (UUID), ki se uporablja za ustvarjanje glavnega ključa za šifriranje datotek. Cilja na določene vrste datotek, jih eksfiltrira v AWS in med tem preimenuje datoteke. Na primer, datoteka z imenom "text.txt" po šifriranju postane "text.txt.
Nazadnje, za okrepitev dejavnika strahu izsiljevalska programska oprema spremeni žrtvino ozadje v sporočilo LockBit 2.0 in lažno poveže napad z dobro znano tolpo izsiljevalske programske opreme.
Razvijajoča se pokrajina groženj izsiljevalske programske opreme
Do teh dogodkov prihaja, ko se krajina izsiljevalske programske opreme še naprej spreminja. Medtem ko so LockBit oslabili mednarodni napori kazenskega pregona , druge skupine, kot so RansomHub, Qilin in Akira, posegajo, da zapolnijo praznino. Zlasti Akira se je vrnil k taktiki dvojnega izsiljevanja, ki združuje krajo podatkov s šifriranjem.
Raziskovalci SentinelOne so tudi odkrili, da so podružnice operacije izsiljevalske programske opreme Mallox začele uporabljati spremenjene različice izsiljevalske programske opreme Kryptina za vdor v sisteme Linux. Ta diverzifikacija poudarja, kako skupine izsiljevalske programske opreme navzkrižno oprašujejo različne nabore orodij in ustvarjajo bolj zapletene, hibridne vrste zlonamerne programske opreme.
Bitka proti izsiljevalski programski opremi
Kljub vse večji zapletenosti napadov z izsiljevalsko programsko opremo je prišlo do nekaj pozitivnih premikov. Gen Digital je na primer izdal dešifrator za izsiljevalsko programsko opremo Mallox, ki je žrtvam ponudil možnost, da brezplačno obnovijo svoje datoteke, če jih je prizadela prejšnja različica. Čeprav to ni rešitev za vse žrtve izsiljevalske programske opreme, kaže na napredek v boju proti tem grožnjam.
Poleg tega Microsoftovo nedavno poročilo ugotavlja, da se je skupni obseg napadov z izsiljevalsko programsko opremo zmanjšal, vendar so se incidenti z izsiljevalsko programsko opremo, ki jih upravlja človek, dramatično povečali. Ta premik kaže na bolj ciljno usmerjene napade, kjer kibernetski kriminalci aktivno upravljajo svoje operacije, kar povečuje pritisk na organizacije, da ostanejo pazljive.
Napadi izsiljevalske programske opreme se še naprej razvijajo, pri čemer napadalci vedno bolj zlorabljajo storitve v oblaku in svoja prizadevanja prikrivajo pod dobro znanimi imeni, kot je LockBit. Vse večja zapletenost teh napadov pomeni, da morajo organizacije ostati v prednosti, vlagati v robustne ukrepe kibernetske varnosti in ostati previdne glede nastajajočih groženj. Medtem ko so nekatere zmage, kot je izdaja dekriptorjev, korak v pravo smer, boj proti izsiljevalski programski opremi še zdaleč ni končan.