Банди програм-вимагачів використовують репутацію LockBit для тиску на жертв у нових атаках

Кіберзлочинці постійно вдосконалюють свою тактику, і одна з їхніх останніх стратегій передбачає використання репутації сумнозвісної програми-вимагача LockBit для залякування жертв. Під час останніх атак зловмисники використовували функцію Transfer Acceleration Amazon S3, щоб викрадати дані, використовуючи назву LockBit, щоб викликати страх, навіть якщо це не фактичне програмне забезпечення-вимагач.

Зростаюча тенденція: зловживання хмарними службами

Дослідники безпеки з Trend Micro помітили зростання кількості груп програм-вимагачів, які зловживають Amazon Web Services (AWS). Тепер зловмисники вбудовують облікові дані AWS у своє зловмисне програмне забезпечення, щоб ефективніше викрадати дані, завантажуючи їх у сегменти S3 під їхнім контролем. Хоча зловмисники можуть використовувати власні або викрадені облікові записи AWS, результат той самий: конфіденційні дані опиняються в їхніх руках. На щастя, AWS діяв швидко, призупинивши скомпрометовані облікові записи після сповіщення Trend Micro.

Ця тенденція свідчить про те, що кіберзлочинці стають все більш вправними у використанні популярних хмарних сервісів для подальших атак. Trend Micro виявила понад 30 зразків, що містять ключі доступу до AWS, що свідчить про те, що ці кампанії активні та розширюються.

Маскування під LockBit для затягування петлі

Під час цих атак оператори програм-вимагачів намагалися замаскувати своє шкідливе програмне забезпечення під LockBit, сумно відоме ім’я у світі програм-вимагачів. Посилаючись на ім’я LockBit, зловмисники мали на меті посилити психологічний тиск, підштовхнувши жертв до більшої ймовірності заплатити викуп через страх. Програма-вимагач, написана мовою Golang, може заразити системи Windows і macOS, але вона не пов’язана безпосередньо з оригінальною групою LockBit.

Після виконання програма-вимагач захоплює унікальний ідентифікатор машини (UUID), який використовується для створення головного ключа для шифрування файлів. Він націлений на певні типи файлів, передає їх до AWS і перейменовує файли в процесі. Наприклад, файл під назвою "text.txt" стає "text.txt..abcd" після шифрування.

Нарешті, щоб підсилити фактор страху, програма-вимагач змінює шпалери жертви на повідомлення LockBit 2.0, помилково пов’язуючи атаку з відомою бандою програм-вимагачів.

Ландшафт загроз програм-вимагачів, що розвиваються

Ці події відбуваються в той час, коли ландшафт програм-вимагачів продовжує змінюватися. У той час як LockBit був послаблений зусиллями міжнародних правоохоронних органів , інші групи, такі як RansomHub, Qilin і Akira, втручаються, щоб заповнити порожнечу. Акіра, зокрема, повернувся до тактики подвійного вимагання, поєднуючи крадіжку даних із шифруванням.

Дослідники SentinelOne також виявили, що філії програми-вимагача Mallox почали використовувати модифіковані версії програми-вимагача Kryptina для зламу систем Linux. Ця диверсифікація підкреслює, як групи програм-вимагачів перехресно запилюють різні набори інструментів і створюють складніші гібридні види шкідливого програмного забезпечення.

Битва з програмами-вимагачами

Незважаючи на зростаючу складність атак програм-вимагачів, відбулися деякі позитивні зрушення. Наприклад, Gen Digital випустила дешифратор для програми-вимагача Mallox, який пропонував жертвам можливість безкоштовно відновити свої файли, якщо вони були вражені попереднім варіантом. Хоча це не рішення для всіх жертв програм-вимагачів, воно свідчить про прогрес у боротьбі з цими загрозами.

Крім того, у нещодавньому звіті Microsoft зазначено, що хоча загальний обсяг атак програм-вимагачів зменшився, інциденти програм-вимагачів, керованих людьми, різко зросли. Ця зміна вказує на більш цілеспрямовані атаки, коли кіберзлочинці активно керують своїми операціями, посилюючи тиск на організації, щоб вони залишалися пильними.

Атаки програм-вимагачів продовжують розвиватися, і зловмисники дедалі частіше зловживають хмарними службами та приховують свої зусилля під такими відомими назвами, як LockBit. Зростаюча складність цих атак означає, що організаціям потрібно бути на випередженні, інвестуючи в надійні заходи кібербезпеки та залишаючись обережними щодо нових загроз. Хоча деякі перемоги, як-от випуск дешифраторів, є кроком у правильному напрямку, боротьба з програмами-вимагачами далека від завершення.