勒索软件团伙利用 LockBit 的声誉对受害者施加新攻击压力

网络犯罪分子不断改进他们的策略，他们最新的策略之一是利用臭名昭著的LockBit勒索软件的名声来恐吓受害者。最近的攻击中，威胁者利用 Amazon S3 的传输加速功能窃取数据，使用 LockBit 的名字制造恐慌，尽管它并不是实际的勒索软件。

一种日益增长的趋势：滥用云服务

Trend Micro 的安全研究人员发现，滥用 Amazon Web Services (AWS) 的勒索软件团体数量有所增加。攻击者现在将 AWS 凭证嵌入恶意软件中，通过将数据上传到他们控制的 S3 存储桶来更有效地窃取数据。虽然攻击者可以使用自己的或被盗的 AWS 账户，但结果是一样的：敏感数据最终落入他们手中。值得庆幸的是，AWS 迅速采取行动，在 Trend Micro 发出警报后暂停了受感染的账户。

这一趋势表明，网络犯罪分子越来越善于利用流行的云服务来进一步发动攻击。趋势科技发现了 30 多个包含 AWS 访问密钥的样本，这表明这些活动正在活跃且不断扩大。

伪装成 LockBit 来收紧绳索

在这些攻击中，勒索软件运营商试图将他们的恶意软件伪装成勒索软件世界中臭名昭著的 LockBit。通过调用 LockBit 的名称，攻击者旨在增加心理压力，使受害者更有可能出于恐惧而支付赎金。这款勒索软件用 Golang 编写，可以感染 Windows 和 macOS 系统，但它与原始 LockBit 组织没有直接联系。

执行后，勒索软件会获取计算机的唯一标识符 (UUID)，该标识符用于生成加密文件的主密钥。它会针对特定文件类型，将其泄露到 AWS，并在过程中重命名文件。例如，名为“text.txt”的文件在加密后变为“text.txt..abcd”。

最后，为了加剧恐惧因素，勒索软件将受害者的壁纸更改为 LockBit 2.0 消息，错误地将攻击与知名的勒索软件团伙联系起来。

勒索软件的威胁形势不断演变

随着勒索软件形势的不断变化，这些发展也随之而来。尽管 LockBit因国际执法行动而被削弱，但 RansomHub、Qilin 和 Akira 等其他组织正在介入填补这一空白。尤其是 Akira，它已恢复双重勒索策略，将数据盗窃与加密相结合。

SentinelOne 研究人员还发现，Mallox 勒索软件行动的附属机构已开始使用修改版的 Kryptina 勒索软件来入侵 Linux 系统。这种多样化凸显了勒索软件团体如何交叉使用不同的工具集并创建更复杂、混合的恶意软件。

对抗勒索软件的斗争

尽管勒索软件攻击的复杂性日益增加，但也出现了一些积极进展。例如，Gen Digital 发布了 Mallox 勒索软件的解密器，如果受害者受到早期变体的攻击，他们有机会免费恢复文件。虽然这不是针对所有勒索软件受害者的解决方案，但它表明在对抗这些威胁方面正在取得进展。

此外，微软最近的报告指出，虽然勒索软件攻击的总量有所下降，但人为操控的勒索软件事件却急剧增加。这种转变表明，网络犯罪分子积极管理其行动，发起了更有针对性的攻击，这增加了组织保持警惕的压力。

勒索软件攻击不断演变，攻击者越来越多地滥用云服务，并以 LockBit 等知名名称进行伪装。这些攻击的复杂性日益增加，这意味着组织需要保持领先地位，投资于强大的网络安全措施，并对新出现的威胁保持警惕。虽然一些胜利（如解密器的发布）是朝着正确方向迈出的一步，但打击勒索软件的斗争还远未结束。