Ransomware-gäng utnyttjar LockBits rykte för att pressa offer i nya attacker

Cyberbrottslingar utvecklar ständigt sin taktik, och en av deras senaste strategier innebär att utnyttja den ökända LockBit ransomwares rykte för att skrämma offer. De senaste attackerna har sett hotaktörer utnyttja Amazon S3:s Transfer Acceleration-funktion för att exfiltrera data, med hjälp av LockBits namn för att skapa rädsla, även om det inte är den faktiska ransomware som är inblandad.

En växande trend: Missbruk av molntjänster

Säkerhetsforskare från Trend Micro har observerat en ökning av ransomware -grupper som missbrukar Amazon Web Services (AWS). Angripare bäddar nu in AWS-referenser i sin skadliga programvara för att stjäla data mer effektivt genom att ladda upp den till S3-hinkar under deras kontroll. Medan angripare antingen kan använda sina egna eller stulna AWS-konton, är resultatet detsamma: känslig data hamnar i deras händer. Tack och lov har AWS agerat snabbt och stoppat de komprometterade kontona när de varnats av Trend Micro.

Denna trend signalerar att cyberbrottslingar blir mer skickliga på att beväpna populära molntjänster för att främja sina attacker. Trend Micro upptäckte över 30 exempel som innehåller AWS-åtkomstnycklar, vilket tyder på att dessa kampanjer är aktiva och expanderar.

Förklädd som LockBit för att dra åt snaran

I dessa attacker försökte ransomware-operatörer dölja sin skadliga programvara som LockBit, ett ökänt namn i ransomware-världen. Genom att åberopa LockBits namn, försökte angriparna lägga till psykologisk press, vilket gör offren mer benägna att betala lösen av rädsla. Ransomwaren, skriven i Golang, kan infektera både Windows- och macOS-system, men den är inte direkt kopplad till den ursprungliga LockBit-gruppen.

Efter exekvering griper ransomware en maskins unika identifierare (UUID), som används för att generera en huvudnyckel för att kryptera filer. Den riktar sig mot specifika filtyper, exfiltrerar dem till AWS och byter namn på filer i processen. Till exempel, en fil som heter "text.txt" blir "text.txt..abcd" efter kryptering.

Slutligen, för att intensifiera rädslafaktorn, ändrar ransomware offrets bakgrund till ett LockBit 2.0-meddelande, vilket felaktigt kopplar attacken till det välkända ransomware-gänget.

Ransomwares Evolving Threat Landscape

Denna utveckling kommer när ransomware-landskapet fortsätter att förändras. Medan LockBit har försvagats av internationella brottsbekämpande ansträngningar , går andra grupper som RansomHub, Qilin och Akira in för att fylla tomrummet. Akira, i synnerhet, har återgått till dubbel utpressningstaktik, som kombinerar datastöld med kryptering.

SentinelOne-forskare upptäckte också att dotterbolag till Mallox ransomware-operation har börjat använda modifierade versioner av Kryptina ransomware för att bryta mot Linux-system. Denna diversifiering belyser hur grupper av ransomware korspollinerar olika verktygsuppsättningar och skapar mer komplexa hybridstammar av skadlig programvara.

Kampen mot Ransomware

Trots den ökande komplexiteten av ransomware-attacker har det skett en del positiv utveckling. Till exempel släpptes en dekryptering för Mallox ransomware av Gen Digital, vilket ger offer en chans att återställa sina filer gratis om de drabbades av en tidigare variant. Även om detta inte är en lösning för alla offer för ransomware, visar det att framsteg görs för att bekämpa dessa hot.

Dessutom noterade Microsofts senaste rapport att även om den totala volymen av ransomware-attacker har minskat, har mänskligt drivna ransomware-incidenter ökat dramatiskt. Denna förändring pekar mot mer riktade attacker där cyberbrottslingar aktivt hanterar sin verksamhet, vilket ökar trycket på organisationer att förbli vaksamma.

Ransomware-attacker fortsätter att utvecklas, med angripare som alltmer missbrukar molntjänster och döljer sina ansträngningar under välkända namn som LockBit. Den växande komplexiteten i dessa attacker innebär att organisationer måste ligga steget före spelet, investera i robusta cybersäkerhetsåtgärder och vara försiktiga med nya hot. Även om vissa vinster, som släppandet av dekrypteringar, är ett steg i rätt riktning, är kampen mot ransomware långt ifrån över.