Bandat e Ransomware shfrytëzojnë reputacionin e LockBit për viktimat e presionit në sulme të reja
Kriminelët kibernetikë po evoluojnë vazhdimisht taktikat e tyre dhe një nga strategjitë e tyre më të fundit përfshin përdorimin e reputacionit famëkeq të ransomware LockBit për të frikësuar viktimat. Sulmet e fundit kanë parë që aktorët e kërcënimit të shfrytëzojnë veçorinë e Përshpejtimit të Transferimit të Amazon S3 për të shfrytëzuar të dhënat, duke përdorur emrin e LockBit për të krijuar frikë, edhe pse nuk është ransomware aktual i përfshirë.
Një trend në rritje: Keqpërdorimi i shërbimeve në renë kompjuterike
Studiuesit e sigurisë nga Trend Micro kanë vërejtur një rritje të grupeve të ransomware që abuzojnë me Shërbimet Ueb Amazon (AWS). Sulmuesit tani janë duke futur kredencialet AWS në malware të tyre për të vjedhur të dhënat në mënyrë më efikase duke i ngarkuar ato në kovat S3 nën kontrollin e tyre. Ndërsa sulmuesit mund të përdorin ose llogaritë e tyre ose të vjedhura AWS, rezultati është i njëjtë: të dhënat e ndjeshme përfundojnë në duart e tyre. Fatmirësisht, AWS ka vepruar me shpejtësi, duke pezulluar llogaritë e komprometuara sapo të sinjalizuara nga Trend Micro.
Ky trend sinjalizon se kriminelët kibernetikë po bëhen më të aftë në armatimin e shërbimeve të njohura cloud për të çuar më tej sulmet e tyre. Trend Micro zbuloi mbi 30 mostra që përmbajnë çelësat e hyrjes AWS, duke sugjeruar që këto fushata janë aktive dhe po zgjerohen.
I maskuar si LockBit për të shtrënguar lakun
Në këto sulme, operatorët e ransomware u përpoqën të maskonin malware-in e tyre si LockBit, një emër famëkeq në botën e ransomware. Duke thirrur emrin e LockBit, sulmuesit synuan të shtonin presionin psikologjik, duke i bërë viktimat më shumë gjasa të paguanin shpërblimin nga frika. ransomware, i shkruar në Golang, mund të infektojë të dy sistemet Windows dhe macOS, por nuk është i lidhur drejtpërdrejt me grupin origjinal LockBit.
Pas ekzekutimit, ransomware rrëmben identifikuesin unik të një makine (UUID), i cili përdoret për të gjeneruar një çelës kryesor për enkriptimin e skedarëve. Ai synon lloje specifike skedarësh, i nxjerr ato në AWS dhe riemërton skedarët në proces. Për shembull, një skedar i quajtur "text.txt" bëhet "text.txt.
Më në fund, për të intensifikuar faktorin e frikës, ransomware ndryshon sfondin e viktimës në një mesazh LockBit 2.0, duke e lidhur gabimisht sulmin me bandën e njohur të ransomware.
Peizazhi i Kërcënimeve në Zhvillim të Ransomware
Këto zhvillime vijnë ndërsa peizazhi i ransomware vazhdon të zhvendoset. Ndërsa LockBit është dobësuar nga përpjekjet ndërkombëtare të zbatimit të ligjit , grupe të tjera si RansomHub, Qilin dhe Akira po ndërhyjnë për të mbushur boshllëkun. Akira, në veçanti, i është rikthyer taktikave të zhvatjes së dyfishtë, duke kombinuar vjedhjen e të dhënave me enkriptimin.
Studiuesit e SentinelOne zbuluan gjithashtu se bashkëpunëtorët e operacionit ransomware Mallox kanë filluar të përdorin versione të modifikuara të ransomware Kryptina për të shkelur sistemet Linux. Ky diversifikim nxjerr në pah se si grupet e ransomware-ve polenizojnë grupe të ndryshme mjetesh dhe krijojnë lloje më komplekse, hibride të malware.
Beteja kundër Ransomware
Pavarësisht kompleksitetit në rritje të sulmeve ransomware, ka pasur disa zhvillime pozitive. Për shembull, një deshifrues për ransomware Mallox u lëshua nga Gen Digital, duke u ofruar viktimave një shans për të rikuperuar skedarët e tyre falas nëse goditeshin nga një variant i mëparshëm. Ndonëse kjo nuk është një zgjidhje për të gjitha viktimat e ransomware, ajo tregon se po bëhen përparime në luftën kundër këtyre kërcënimeve.
Për më tepër, raporti i fundit i Microsoft-it vuri në dukje se ndërsa vëllimi i përgjithshëm i sulmeve të ransomware është ulur, incidentet e ransomware-ve të drejtuara nga njerëzit janë rritur në mënyrë dramatike. Ky ndryshim tregon për sulme më të synuara ku kriminelët kibernetikë menaxhojnë në mënyrë aktive operacionet e tyre, duke rritur presionin ndaj organizatave për të qëndruar vigjilentë.
Sulmet ransomware vazhdojnë të evoluojnë, me sulmuesit që abuzojnë gjithnjë e më shumë me shërbimet cloud dhe maskojnë përpjekjet e tyre nën emra të njohur si LockBit. Kompleksiteti në rritje i këtyre sulmeve do të thotë që organizatat duhet të qëndrojnë përpara lojës, duke investuar në masa të forta të sigurisë kibernetike dhe duke qëndruar të kujdesshme ndaj kërcënimeve në zhvillim. Ndërsa disa fitore, si lëshimi i deshifruesve, janë një hap në drejtimin e duhur, lufta kundër ransomware nuk ka përfunduar.