Các băng nhóm Ransomware lợi dụng danh tiếng của LockBit để gây sức ép với nạn nhân trong các cuộc tấn công mới
Tội phạm mạng liên tục phát triển các chiến thuật của mình và một trong những chiến lược mới nhất của chúng là lợi dụng danh tiếng của phần mềm tống tiền LockBit khét tiếng để đe dọa nạn nhân. Các cuộc tấn công gần đây đã chứng kiến những kẻ đe dọa khai thác tính năng Transfer Acceleration của Amazon S3 để đánh cắp dữ liệu, sử dụng tên của LockBit để tạo ra nỗi sợ hãi, mặc dù đó không phải là phần mềm tống tiền thực sự có liên quan.
Một xu hướng đang phát triển: Sử dụng sai dịch vụ đám mây
Các nhà nghiên cứu bảo mật từ Trend Micro đã quan sát thấy sự gia tăng các nhóm ransomware lạm dụng Amazon Web Services (AWS). Những kẻ tấn công hiện đang nhúng thông tin xác thực AWS vào phần mềm độc hại của chúng để đánh cắp dữ liệu hiệu quả hơn bằng cách tải dữ liệu lên các thùng S3 do chúng kiểm soát. Mặc dù những kẻ tấn công có thể sử dụng tài khoản AWS của riêng chúng hoặc tài khoản AWS bị đánh cắp, nhưng kết quả vẫn như nhau: dữ liệu nhạy cảm sẽ nằm trong tay chúng. Rất may, AWS đã hành động nhanh chóng, đình chỉ các tài khoản bị xâm phạm sau khi được Trend Micro cảnh báo.
Xu hướng này báo hiệu rằng tội phạm mạng đang trở nên thành thạo hơn trong việc biến các dịch vụ đám mây phổ biến thành vũ khí để tiếp tục các cuộc tấn công của chúng. Trend Micro đã phát hiện ra hơn 30 mẫu chứa AWS Access Key, cho thấy các chiến dịch này đang hoạt động và mở rộng.
Ngụy trang thành LockBit để thắt chặt thòng lọng
Trong các cuộc tấn công này, những kẻ điều hành ransomware đã cố gắng ngụy trang phần mềm độc hại của chúng thành LockBit, một cái tên khét tiếng trong thế giới ransomware. Bằng cách gọi tên LockBit, những kẻ tấn công nhằm mục đích gây thêm áp lực tâm lý, khiến nạn nhân có nhiều khả năng trả tiền chuộc vì sợ hãi. Ransomware, được viết bằng Golang, có thể lây nhiễm cả hệ thống Windows và macOS, nhưng nó không liên quan trực tiếp đến nhóm LockBit ban đầu.
Sau khi thực thi, ransomware sẽ lấy mã định danh duy nhất (UUID) của máy, được sử dụng để tạo khóa chính để mã hóa tệp. Nó nhắm mục tiêu vào các loại tệp cụ thể, chuyển chúng đến AWS và đổi tên tệp trong quá trình này. Ví dụ: tệp có tên "text.txt" sẽ trở thành "text.txt.
Cuối cùng, để tăng thêm mức độ sợ hãi, phần mềm tống tiền sẽ thay đổi hình nền của nạn nhân thành thông báo LockBit 2.0, khiến nạn nhân nhầm lẫn cuộc tấn công là do nhóm phần mềm tống tiền khét tiếng thực hiện.
Bối cảnh đe dọa đang phát triển của Ransomware
Những diễn biến này diễn ra khi bối cảnh ransomware tiếp tục thay đổi. Trong khi LockBit đã bị suy yếu bởi các nỗ lực thực thi pháp luật quốc tế , các nhóm khác như RansomHub, Qilin và Akira đang vào cuộc để lấp đầy khoảng trống. Akira, nói riêng, đã quay lại chiến thuật tống tiền kép, kết hợp đánh cắp dữ liệu với mã hóa.
Các nhà nghiên cứu SentinelOne cũng phát hiện ra rằng các chi nhánh của hoạt động ransomware Mallox đã bắt đầu sử dụng các phiên bản đã sửa đổi của ransomware Kryptina để xâm nhập vào các hệ thống Linux. Sự đa dạng này làm nổi bật cách các nhóm ransomware đang thụ phấn chéo các bộ công cụ khác nhau và tạo ra các chủng phần mềm độc hại lai phức tạp hơn.
Cuộc chiến chống lại Ransomware
Mặc dù các cuộc tấn công ransomware ngày càng phức tạp, vẫn có một số diễn biến tích cực. Ví dụ, Gen Digital đã phát hành một trình giải mã cho ransomware Mallox, cung cấp cho nạn nhân cơ hội khôi phục tệp của họ miễn phí nếu họ bị tấn công bởi một biến thể trước đó. Mặc dù đây không phải là giải pháp cho tất cả nạn nhân ransomware, nhưng nó cho thấy những tiến bộ đang được thực hiện để chống lại các mối đe dọa này.
Ngoài ra, báo cáo gần đây của Microsoft lưu ý rằng trong khi tổng khối lượng các cuộc tấn công ransomware đã giảm, các sự cố ransomware do con người điều khiển đã tăng đáng kể. Sự thay đổi này chỉ ra các cuộc tấn công có mục tiêu hơn, nơi tội phạm mạng chủ động quản lý hoạt động của chúng, làm tăng áp lực buộc các tổ chức phải luôn cảnh giác.
Các cuộc tấn công bằng phần mềm tống tiền tiếp tục phát triển, với những kẻ tấn công ngày càng lạm dụng các dịch vụ đám mây và ngụy trang các nỗ lực của chúng dưới những cái tên nổi tiếng như LockBit. Sự phức tạp ngày càng tăng của các cuộc tấn công này có nghĩa là các tổ chức cần phải đi trước một bước, đầu tư vào các biện pháp an ninh mạng mạnh mẽ và luôn thận trọng với các mối đe dọa mới nổi. Mặc dù một số chiến thắng, như việc phát hành trình giải mã, là một bước đi đúng hướng, cuộc chiến chống lại phần mềm tống tiền vẫn chưa kết thúc.