Pinagsasamantalahan ng mga Ransomware Gang ang Reputasyon ng LockBit sa Mga Biktima ng Presyon sa Mga Bagong Pag-atake
Patuloy na binabago ng mga cybercriminal ang kanilang mga taktika, at ang isa sa kanilang pinakabagong mga diskarte ay kinabibilangan ng paggamit ng reputasyon ng nakakahiyang LockBit ransomware upang takutin ang mga biktima. Nakita ng mga kamakailang pag-atake na sinasamantala ng mga aktor ng banta ang tampok na Pagpapabilis ng Paglipat ng Amazon S3 upang i-exfiltrate ang data, gamit ang pangalan ng LockBit upang lumikha ng takot, kahit na hindi ito ang aktwal na ransomware na kasangkot.
Lumalagong Uso: Maling Paggamit ng Mga Serbisyo sa Cloud
Naobserbahan ng mga mananaliksik ng seguridad mula sa Trend Micro ang pagtaas ng mga grupo ng ransomware na umaabuso sa Amazon Web Services (AWS). Ang mga umaatake ay naglalagay na ngayon ng mga kredensyal ng AWS sa loob ng kanilang malware upang magnakaw ng data nang mas mahusay sa pamamagitan ng pag-upload nito sa mga S3 bucket sa ilalim ng kanilang kontrol. Bagama't maaaring gamitin ng mga umaatake ang kanilang sarili o ninakaw na mga AWS account, pareho ang resulta: mapupunta sa kanilang mga kamay ang sensitibong data. Sa kabutihang palad, mabilis na kumilos ang AWS, na sinuspinde ang mga nakompromisong account sa sandaling inalertuhan ng Trend Micro.
Ang trend na ito ay nagpapahiwatig na ang mga cybercriminal ay nagiging mas sanay sa pag-armas ng mga sikat na serbisyo sa cloud upang palawakin ang kanilang mga pag-atake. Natuklasan ng Trend Micro ang mahigit 30 sample na naglalaman ng AWS Access Keys, na nagmumungkahi na ang mga campaign na ito ay aktibo at lumalawak.
Pagkukunwari bilang LockBit para Mahigpit ang Noose
Sa mga pag-atakeng ito, sinubukan ng mga operator ng ransomware na itago ang kanilang malware bilang LockBit, isang kilalang pangalan sa mundo ng ransomware. Sa pamamagitan ng pagtawag sa pangalan ng LockBit, ang mga umaatake ay naglalayong magdagdag ng sikolohikal na presyon, na ginagawang mas malamang na magbayad ang mga biktima ng ransom dahil sa takot. Ang ransomware, na nakasulat sa Golang, ay maaaring makahawa sa parehong Windows at macOS system, ngunit hindi ito direktang naka-link sa orihinal na pangkat ng LockBit.
Pagkatapos ng execution, kinukuha ng ransomware ang unique identifier (UUID) ng isang machine, na ginagamit upang bumuo ng master key para sa pag-encrypt ng mga file. Tina-target nito ang mga partikular na uri ng file, i-exfiltrate ang mga ito sa AWS, at pinapalitan ang pangalan ng mga file sa proseso. Halimbawa, ang isang file na tinatawag na "text.txt" ay nagiging "text.txt.
Sa wakas, para patindihin ang fear factor, binago ng ransomware ang wallpaper ng biktima sa isang LockBit 2.0 na mensahe, na maling ikinonekta ang pag-atake sa kilalang ransomware gang.
Ang Umuunlad na Landscape ng Banta ng Ransomware
Dumating ang mga pag-unlad na ito habang patuloy na nagbabago ang landscape ng ransomware. Bagama't ang LockBit ay pinahina ng mga internasyonal na pagsisikap sa pagpapatupad ng batas , ang ibang mga grupo tulad ng RansomHub, Qilin, at Akira ay pumapasok upang punan ang walang bisa. Si Akira, sa partikular, ay bumalik sa dobleng taktika ng pangingikil, na pinagsasama ang pagnanakaw ng data sa pag-encrypt.
Natuklasan din ng mga mananaliksik ng SentinelOne na ang mga kaakibat ng operasyon ng Mallox ransomware ay nagsimulang gumamit ng mga binagong bersyon ng Kryptina ransomware upang labagin ang mga sistema ng Linux. Itinatampok ng diversification na ito kung paano nag-cross-pollinating ang mga grupo ng ransomware sa iba't ibang toolset at lumilikha ng mas kumplikado at hybrid na mga strain ng malware.
Ang Labanan Laban sa Ransomware
Sa kabila ng pagtaas ng pagiging kumplikado ng mga pag-atake ng ransomware, may ilang positibong pag-unlad. Halimbawa, ang isang decryptor para sa Mallox ransomware ay inilabas ng Gen Digital, na nag-aalok sa mga biktima ng pagkakataong mabawi ang kanilang mga file nang libre kung sila ay natamaan ng mas naunang variant. Bagama't hindi ito isang solusyon para sa lahat ng biktima ng ransomware, ipinapakita nito na ang mga pagsulong ay ginagawa sa paglaban sa mga banta na ito.
Bukod pa rito, binanggit ng kamakailang ulat ng Microsoft na habang bumababa ang kabuuang dami ng mga pag-atake ng ransomware, ang mga insidente ng ransomware na pinapatakbo ng tao ay tumaas nang husto. Ang pagbabagong ito ay tumuturo sa mas maraming naka-target na pag-atake kung saan aktibong pinamamahalaan ng mga cybercriminal ang kanilang mga operasyon, na nagpapataas ng presyon sa mga organisasyon na manatiling mapagbantay.
Ang mga pag-atake ng Ransomware ay patuloy na umuunlad, kung saan ang mga umaatake ay patuloy na inaabuso ang mga serbisyo ng cloud at itinago ang kanilang mga pagsisikap sa ilalim ng mga kilalang pangalan tulad ng LockBit. Ang lumalaking kumplikado ng mga pag-atake na ito ay nangangahulugan na ang mga organisasyon ay kailangang manatiling nangunguna sa laro, mamuhunan sa matatag na mga hakbang sa cybersecurity at manatiling maingat sa mga umuusbong na banta. Habang ang ilang mga panalo, tulad ng paglabas ng mga decryptor, ay isang hakbang sa tamang direksyon, ang paglaban sa ransomware ay malayo pa sa pagtatapos.