Nenhum comentário

Grupos de Ransomware usam o nome do Grupo LockBit em ataques recentes

 

Atores de ameaças foram vistos explorando o recurso Transfer Acceleration do Amazon S3 em ataques de ransomware, usando-o para exfiltrar dados de vítimas e armazená-los em buckets S3 que eles controlam.

De acordo com os pesquisadores da Trend Micro Jaromir Horejsi e Nitesh Surana, foram feitas tentativas de fazer passar o ransomware Golang como o infame ransomware LockBit. No entanto, os invasores parecem estar aproveitando a notoriedade do LockBit para aplicar pressão adicional em suas vítimas, em vez de realmente usá-lo.

Foi descoberto que o ransomware continha credenciais AWS embutidas e codificadas, permitindo a exfiltração de dados para a nuvem. Isso sinaliza que os adversários estão cada vez mais recorrendo a serviços de nuvem populares como a AWS para realizar operações maliciosas.

A conta AWS usada na campanha pode pertencer aos próprios invasores ou pode ter sido comprometida. Após a divulgação responsável à AWS, as chaves de acesso e contas identificadas foram imediatamente suspensas.

A Trend Micro descobriu mais de 30 amostras de ransomware contendo IDs de chave de acesso AWS e Chaves de acesso secretas, indicando desenvolvimento contínuo. O ransomware tem como alvo sistemas Windows e MacOS.

Embora não esteja claro como o ransomware multiplataforma é inicialmente entregue, uma vez executado, ele recupera o identificador exclusivo da máquina (UUID) e realiza uma série de ações para criar a chave mestra necessária para criptografar arquivos.

Antes de criptografar os arquivos, os invasores os exfiltram para a AWS usando o S3 Transfer Acceleration (S3TA) para transferência de dados mais rápida. O processo de criptografia envolve renomear os arquivos com um vetor de inicialização anexado e uma extensão exclusiva “.abcd” — por exemplo, o arquivo “text.txt” se torna “text.txt.e5c331611dd7462f42a5e9776d2281d3.abcd.”

Em seu estágio final, o ransomware muda o papel de parede do dispositivo, exibindo uma mensagem mencionando LockBit 2.0 em um esforço para coagir as vítimas a pagar o resgate.

Pesquisadores da Trend Micro destacaram que os invasores podem disfarçar o ransomware como uma variante mais notória para intimidar as vítimas, tornando-as mais propensas a cumprir as exigências de resgate. A notoriedade de campanhas de ransomware proeminentes amplifica a pressão sobre as vítimas para agir.

Enquanto isso, a Gen Digital lançou recentemente um descriptografador para uma variante do ransomware Mallox, explorando uma falha em sua estrutura criptográfica. Essa variante foi observada em ataques de janeiro de 2023 a fevereiro de 2024.

Ransomware

As vítimas atacadas por essa variante específica do ransomware Mallox podem ter a chance de recuperar seus arquivos gratuitamente, de acordo com o pesquisador Ladislav Zezula. Ele observou que a falha no esquema de criptografia foi corrigida em março de 2024, o que significa que os arquivos criptografados por versões posteriores do Mallox não podem mais ser descriptografados usando a falha.

Além disso, uma afiliada da operação Mallox, também conhecida como TargetCompany, foi encontrada usando uma versão modificada do ransomware Kryptina—chamado Mallox v1.0—para comprometer sistemas Linux.

O pesquisador do SentinelOne, Jim Walter observou que essas variantes do Mallox baseadas em Kryptina são específicas de afiliadas, distintas de outras versões do Linux Mallox, o que reflete a complexidade do cenário de ransomware atual. Ele enfatizou que o ecossistema se tornou um “zoológico de conjuntos de ferramentas de polinização cruzada e bases de código não lineares.”

O ransomware continua a representar uma ameaça significativa, com 1.255 ataques registrados no terceiro trimestre de 2024 — abaixo dos 1.325 no trimestre anterior, de acordo com a análise da Symantec de dados de sites de vazamento de ransomware.

O Relatório de Defesa Digital da Microsoft, abrangendo junho de 2023 a junho de 2024, observou um aumento de 2,75x em encontros de ransomware operados por humanos ano a ano. Curiosamente, a porcentagem de ataques que atingem a fase de criptografia caiu três vezes nos últimos dois anos.

O declínio do LockBit após uma derrubada policial em fevereiro de 2024 permitiu que outros grupos, como RansomHub, Qilin (também conhecido como Agenda) e Akira, ganhassem destaque. Notavelmente, Akira voltou às suas táticas de dupla extorsão após experimentar brevemente apenas exfiltração de dados e extorsão no início de 2024.

Durante esse período, a Talos observou operadores de ransomware-as-a-service (RaaS) da Akira desenvolvendo uma variante Rust de seu criptografador ESXi, melhorando constantemente sua funcionalidade enquanto se afastava do C++ e experimentava diferentes abordagens de codificação.

Os ataques de Akira têm se apoiado cada vez mais em credenciais de VPN comprometidas e falhas de segurança recentemente divulgadas para se infiltrar em redes, aumentar privilégios e se mover lateralmente para fortalecer sua posição em ambientes comprometidos.

Entre as vulnerabilidades exploradas pelos afiliados da Akira estão as seguintes:

De acordo com os pesquisadores do Talos, James Nutland e Michael Szeliga, o Akira tem como alvo inúmeras organizações em 2024, particularmente aquelas nos setores de serviços de manufatura, profissionais, científicos e técnicos.

Eles também sugeriram que o Akira pode estar se afastando de sua variante Akira v2 baseada em Rust e voltando às táticas anteriores, incluindo o uso de C++ para seus criptografadores Windows e Linux.


Fonte: TheHackerNews

Você pode gostar também