Рансомваре банде искориштавају репутацију ЛоцкБита да врше притисак на жртве у новим нападима
Сајбер-криминалци стално развијају своје тактике, а једна од њихових најновијих стратегија укључује искориштавање репутације злогласног ЛоцкБит рансомваре-а за застрашивање жртава. Недавни напади су видели да актери претњи експлоатишу Амазон С3 функцију Трансфер Аццелератион да ексфилтрирају податке, користећи ЛоцкБит-ово име да би створили страх, иако то није стварни рансомвер укључен.
Растући тренд: Злоупотреба услуга у облаку
Истраживачи безбедности из Тренд Мицро-а приметили су пораст група рансомвера које злоупотребљавају Амазон Веб Сервицес (АВС). Нападачи сада уграђују АВС акредитиве у свој малвер како би ефикасније украли податке тако што ће их отпремити у С3 канте под њиховом контролом. Иако нападачи могу да користе сопствене или украдене АВС налоге, резултат је исти: осетљиви подаци завршавају у њиховим рукама. Срећом, АВС је реаговао брзо, суспендујући компромитоване налоге када их је Тренд Мицро упозорио.
Овај тренд сигнализира да сајбер-криминалци постају све вјештији у кориштењу популарних клауд сервиса како би унаприједили своје нападе. Тренд Мицро је открио преко 30 узорака који садрже АВС приступне кључеве, што сугерише да су ове кампање активне и да се шире.
Прерушавајући се као ЛоцкБит за затезање омче
У овим нападима, оператери рансомваре-а су покушали да прикрију свој малвер као ЛоцкБит, озлоглашено име у свету рансомвера. Позивајући се на ЛоцкБит-ово име, нападачи су имали за циљ да додају психолошки притисак, чинећи жртве већом вероватноћом да плате откуп из страха. Рансомвер, написан на Голанг-у, може заразити и Виндовс и мацОС системе, али није директно повезан са оригиналном ЛоцкБит групом.
Након извршења, рансомваре граби јединствени идентификатор машине (УУИД), који се користи за генерисање главног кључа за шифровање датотека. Циља одређене типове датотека, ексфилтрира их у АВС и преименује датотеке у том процесу. На пример, датотека под називом "тект.ткт" постаје "тект.ткт.<УУИД>.абцд" након шифровања.
Коначно, да би појачао фактор страха, рансомваре мења позадину жртве у ЛоцкБит 2.0 поруку, лажно повезујући напад са добро познатом бандом рансомваре-а.
Рансомваре-ов пејзаж претњи које се развијају
Овај развој догађаја долази како се окружење рансомваре-а наставља мењати. Док је ЛоцкБит ослабљен међународним напорима за спровођење закона , друге групе као што су РансомХуб, Килин и Акира улазе у то да попуне празнину. Акира се, посебно, вратио тактици двоструке изнуде, комбинујући крађу података са шифровањем.
Истраживачи СентинелОне-а су такође открили да су филијале операције Маллок рансомваре-а почеле да користе модификоване верзије Криптина рансомваре-а за пробијање Линук система. Ова диверзификација наглашава како групе рансомвера унакрсно опрашују различите скупове алата и стварају сложеније, хибридне врсте малвера.
Битка против Рансомваре-а
Упркос све већој сложености напада рансомвера, било је неких позитивних помака. На пример, Ген Дигитал је објавио дешифровање за Маллок рансомваре, нудећи жртвама прилику да бесплатно опораве своје датотеке ако их је погодила ранија варијанта. Иако ово није решење за све жртве рансомвера, то показује да се напредује у борби против ових претњи.
Поред тога, у недавном извештају компаније Мицрософт наводи се да, иако се укупни обим напада рансомвера смањио, инциденти рансомвера којима управљају људи драматично су порасли. Ова промена указује на циљаније нападе у којима сајбер криминалци активно управљају својим операцијама, повећавајући притисак на организације да остану будне.
Напади рансомвера настављају да се развијају, а нападачи све више злоупотребљавају услуге у облаку и прикривају своје напоре под добро познатим именима као што је ЛоцкБит. Растућа сложеност ових напада значи да организације морају да буду испред игре, улажући у робусне мере сајбер безбедности и да буду опрезне у погледу нових претњи. Док су неке победе, попут ослобађања дешифрованих програма, корак у правом смеру, борба против рансомваре-а је далеко од краја.