勒索軟體團夥利用 LockBit 的聲譽在新的攻擊中向受害者施壓

網路犯罪分子不斷改進他們的策略，他們的最新策略之一就是利用臭名昭著的LockBit勒索軟體的聲譽來恐嚇受害者。最近的攻擊表明，威脅行為者利用 Amazon S3 的傳輸加速功能來竊取數據，並使用 LockBit 的名稱來製造恐懼，儘管它並不是真正涉及的勒索軟體。

日益增長的趨勢：濫用雲端服務

趨勢科技的安全研究人員觀察到，濫用 Amazon Web Services (AWS) 的勒索軟體團體增加。攻擊者現在將 AWS 憑證嵌入到他們的惡意軟體中，透過將資料上傳到他們控制下的 S3 儲存桶來更有效地竊取資料。雖然攻擊者可以使用自己的或竊取的 AWS 帳戶，但結果是一樣的：敏感資料最終落入他們手中。值得慶幸的是，AWS 迅速採取了行動，在趨勢科技發出警報後就暫停了受感染的帳戶。

這一趨勢表明，網路犯罪分子越來越善於利用流行的雲端服務來進一步實施攻擊。趨勢科技發現了 30 多個包含 AWS 存取金鑰的樣本，這表明這些活動很活躍並且正在擴大。

偽裝成 LockBit 收緊絞索

在這些攻擊中，勒索軟體業者試圖將其惡意軟體偽裝成勒索軟體世界中臭名昭著的 LockBit。攻擊者透過引用 LockBit 的名字，旨在增加心理壓力，使受害者更有可能出於恐懼而支付贖金。該勒索軟體以 Golang 編寫，可以感染 Windows 和 macOS 系統，但它與原始 LockBit 組織沒有直接聯繫。

執行後，勒索軟體會取得電腦的唯一識別碼（UUID），用於產生加密檔案的主密鑰。它針對特定的檔案類型，將其傳輸到 AWS，並在此過程中重新命名檔案。例如，名為「text.txt」的檔案在加密後變為「text.txt..abcd」。

最後，為了加劇恐懼因素，勒索軟體將受害者的壁紙更改為 LockBit 2.0 訊息，錯誤地將攻擊與知名勒索軟體團夥聯繫起來。

勒索軟體不斷變化的威脅格局

這些發展是隨著勒索軟體格局的不斷變化而出現的。雖然 LockBit因國際執法行動而受到削弱，但 RansomHub、Qilin 和 Akira 等其他組織正在介入填補空白。尤其是 Akira，已經恢復了雙重勒索策略，將資料竊取與加密結合。

SentinelOne 研究人員也發現 Mallox 勒索軟體作業的附屬機構已開始使用 Kryptina 勒索軟體的修改版本來破壞 Linux 系統。這種多樣化凸顯了勒索軟體組織如何交叉傳播不同的工具集並創建更複雜的混合惡意軟體。

對抗勒索軟體的戰鬥

儘管勒索軟體攻擊的複雜性日益增加，但還是出現了一些積極的進展。例如，Gen Digital 發布了 Mallox 勒索軟體的解密器，為遭受早期變體攻擊的受害者提供免費恢復檔案的機會。雖然這並不是適用於所有勒索軟體受害者的解決方案，但它表明在應對這些威脅方面正在取得進展。

此外，微軟最近的報告指出，雖然勒索軟體攻擊的總量有所下降，但人為操作的勒索軟體事件卻急劇增加。這種轉變指向更具針對性的攻擊，網路犯罪分子會積極管理其運營，從而增加了組織保持警惕的壓力。

勒索軟體攻擊不斷演變，攻擊者越來越多地濫用雲端服務並以 LockBit 等知名名稱來掩蓋其攻擊行為。這些攻擊日益複雜，這意味著組織需要保持領先地位，投資強大的網路安全措施，並對新出現的威脅保持警惕。雖然一些勝利（例如解密器的發布）是朝著正確方向邁出的一步，但與勒索軟體的鬥爭還遠未結束。