W ostatnim czasie zaobserwowano, że cyberprzestępcy coraz częściej wykorzystują funkcję Amazon S3 Transfer Acceleration w atakach typu ransomware, aby szybciej wykradać dane ofiar i przesyłać je do kontrolowanych przez siebie zasobów w chmurze. Trend ten jest niepokojący, ponieważ świadczy o rosnącym użyciu popularnych usług chmurowych w celach przestępczych, co zwiększa skalę i szybkość, z jaką ataki mogą być przeprowadzane.
Ransomware podszywający się pod LockBit
Badacze z firmy Trend Micro, Jaromir Horejsi i Nitesh Surana, ujawnili, że niektórzy atakujący próbują przekształcać swoje ataki ransomware w taki sposób, aby przypominały słynne oprogramowanie LockBit. Jednakże, jak wskazują eksperci, nie jest to prawdziwy LockBit – cyberprzestępcy jedynie próbują wykorzystać złą sławę tej grupy ransomware, aby wywrzeć większą presję na swoje ofiary. Najnowsze badania odkryły kodowane dane dostępowe AWS, które są wykorzystywane do wykradania danych i przesyłania ich do chmury.
Zidentyfikowane w kampanii ransomware konto AWS należy prawdopodobnie do samych atakujących lub zostało zhakowane. Dzięki odpowiedzialnemu zgłoszeniu tego incydentu do zespołu bezpieczeństwa AWS, klucze dostępowe oraz konta zostały zawieszone, co zatrzymało dalszą działalność przestępczą opartą na tych danych.
Wysoce rozwinięte techniki ataku
Trend Micro odkrył ponad 30 próbek z zakodowanymi identyfikatorami kluczy dostępowych AWS, co wskazuje na aktywny rozwój tego zagrożenia. Co ciekawe, ransomware jest w stanie atakować zarówno systemy Windows, jak i macOS. SentinelOne, firma zajmująca się cyberbezpieczeństwem, nadała temu nowemu złośliwemu oprogramowaniu nazwę NotLockBit.
Choć nie jest jeszcze do końca jasne, w jaki sposób ransomware dostaje się na urządzenia ofiar, wiadomo, że po uruchomieniu, oprogramowanie pobiera unikalny identyfikator maszyny (UUID) i wykonuje serię kroków mających na celu wygenerowanie klucza głównego, który jest następnie wykorzystywany do zaszyfrowania plików ofiary.
Proces ataku – wykradanie i szyfrowanie danych
Po pomyślnym uruchomieniu oprogramowania ransomware, atakujący przeszukuje katalogi główne urządzenia i szyfruje pliki, które pasują do określonej listy rozszerzeń. Co ciekawe, przed zaszyfrowaniem, dane są najpierw przesyłane do zasobów AWS za pomocą funkcji S3 Transfer Acceleration (S3TA), co pozwala na szybszy transfer danych do chmury.
Po zakończeniu szyfrowania, pliki zmieniają swoje nazwy zgodnie z określonym schematem: „oryginalnanazwapliku.inicjalizacja.abcd”. Na przykład plik „text.txt” zmienia nazwę na „text.txt.e5c331611dd7462f42a5e9776d2281d3.abcd”. W końcowej fazie ataku, ransomware zmienia tapetę urządzenia na grafikę, która odnosi się do LockBit 2.0, co ma na celu zmuszenie ofiary do zapłaty okupu.
Przestępczy krajobraz ransomware
To, że cyberprzestępcy podszywają się pod znane grupy ransomware, nie jest zaskakujące. Infamia wysokoprofilowych ataków ransomware, takich jak LockBit, wywiera większą presję na ofiary, które często są skłonne zapłacić okupu w nadziei na odzyskanie swoich danych.
Rozwój ataków ransomware nadal postępuje. Przykładem jest Mallox – popularny wariant ransomware, dla którego firma Gen Digital opublikowała niedawno narzędzie deszyfrujące. To narzędzie może pomóc ofiarom przywrócić zaszyfrowane dane, pod warunkiem, że padły one ofiarą starszej wersji Malloxa, która miała wadliwy schemat kryptograficzny. Wada ta została poprawiona w marcu 2024 roku, co oznacza, że nowsze wersje są bardziej odporne na takie próby deszyfrowania.
Ewolucja ransomware
Krajobraz zagrożeń związanych z ransomware stale się rozwija. W jednej z ostatnich analiz przeprowadzonych przez SentinelOne, badacze zauważyli, że grupa stojąca za Mallox używała zmodyfikowanej wersji ransomware Kryptina, skierowanej przeciwko użytkownikom systemów Linux. To pokazuje, jak różnorodne i złożone stają się narzędzia używane przez cyberprzestępców.
Ransomware pozostaje poważnym zagrożeniem. Raport firmy Symantec wskazuje, że w trzecim kwartale 2024 roku zgłoszono 1,255 ataków ransomware, co jest nieco mniejszą liczbą w porównaniu do poprzedniego kwartału. Co ciekawe, Microsoft w swoim ostatnim raporcie dotyczącym obrony cyfrowej zauważył wzrost o 2,75 razy liczby spotkań związanych z ransomware operowanym przez ludzi w porównaniu z poprzednim rokiem. Jednak liczba ataków, które zakończyły się faktycznym szyfrowaniem danych, zmniejszyła się trzykrotnie na przestrzeni ostatnich dwóch lat.
Nowi gracze na rynku ransomware
Po międzynarodowej operacji organów ścigania, która w lutym 2024 roku uderzyła w infrastrukturę LockBit, pojawiły się nowe grupy ransomware, takie jak RansomHub, Qilin (znany również jako Agenda) oraz Akira. Akira, po krótkim okresie stosowania jedynie taktyki wykradania danych i wymuszeń, powróciła do podwójnej strategii wykradania danych oraz szyfrowania plików. W tym okresie operatorzy ransomware jako usługi (RaaS) zaczęli także opracowywać wersję swojego programu napisaną w języku Rust, porzucając starsze wersje oparte na C++.
Ataki na VPN i podatności w zabezpieczeniach
Ostatnie ataki grupy Akira wykorzystują skompromitowane dane logowania do VPN oraz nowo odkryte luki w zabezpieczeniach, aby uzyskać dostęp do sieci ofiar, podwyższyć swoje uprawnienia oraz poruszać się lateralnie po zainfekowanym środowisku. W ten sposób próbują uzyskać głębszy dostęp do systemów, co zwiększa ich szanse na powodzenie ataku.
W 2024 roku Akira zaatakowała wiele organizacji, ze szczególnym uwzględnieniem sektorów produkcyjnych oraz firm świadczących usługi naukowe, techniczne i profesjonalne. Chociaż grupa rozwijała ransomware w języku Rust, możliwe jest, że powróci do wcześniejszych metod, używając starszych wersji oprogramowania szyfrującego dla systemów Windows i Linux, napisanych w C++.
Podsumowanie
Ransomware nieustannie ewoluuje i dostosowuje się do nowych technologii oraz strategii obronnych. Coraz częstsze wykorzystanie popularnych usług chmurowych, takich jak AWS, w atakach ransomware, stawia nowe wyzwania przed firmami zajmującymi się bezpieczeństwem cyfrowym. Ważne jest, aby organizacje były świadome tych zagrożeń i podejmowały odpowiednie kroki w celu ochrony swoich zasobów i danych przed tego rodzaju atakami.