Atores de ameaças foram vistos explorando o recurso Transfer Acceleration do Amazon S3 em ataques de ransomware, usando-o para exfiltrar dados de vítimas e armazená-los em buckets S3 que eles controlam.
De acordo com os pesquisadores da Trend Micro Jaromir Horejsi e Nitesh Surana, foram feitas tentativas de fazer passar o ransomware Golang como o infame ransomware LockBit. No entanto, os invasores parecem estar aproveitando a notoriedade do LockBit para aplicar pressão adicional em suas vítimas, em vez de realmente usá-lo.
Foi descoberto que o ransomware continha credenciais AWS embutidas e codificadas, permitindo a exfiltração de dados para a nuvem. Isso sinaliza que os adversários estão cada vez mais recorrendo a serviços de nuvem populares como a AWS para realizar operações maliciosas.
A conta AWS usada na campanha pode pertencer aos próprios invasores ou pode ter sido comprometida. Após a divulgação responsável à AWS, as chaves de acesso e contas identificadas foram imediatamente suspensas.
A Trend Micro descobriu mais de 30 amostras de ransomware contendo IDs de chave de acesso AWS e Chaves de acesso secretas, indicando desenvolvimento contínuo. O ransomware tem como alvo sistemas Windows e MacOS.
Embora não esteja claro como o ransomware multiplataforma é inicialmente entregue, uma vez executado, ele recupera o identificador exclusivo da máquina (UUID) e realiza uma série de ações para criar a chave mestra necessária para criptografar arquivos.
Antes de criptografar os arquivos, os invasores os exfiltram para a AWS usando o S3 Transfer Acceleration (S3TA) para transferência de dados mais rápida. O processo de criptografia envolve renomear os arquivos com um vetor de inicialização anexado e uma extensão exclusiva “.abcd” — por exemplo, o arquivo “text.txt” se torna “text.txt.e5c331611dd7462f42a5e9776d2281d3.abcd.”
Em seu estágio final, o ransomware muda o papel de parede do dispositivo, exibindo uma mensagem mencionando LockBit 2.0 em um esforço para coagir as vítimas a pagar o resgate.
Pesquisadores da Trend Micro destacaram que os invasores podem disfarçar o ransomware como uma variante mais notória para intimidar as vítimas, tornando-as mais propensas a cumprir as exigências de resgate. A notoriedade de campanhas de ransomware proeminentes amplifica a pressão sobre as vítimas para agir.
Enquanto isso, a Gen Digital lançou recentemente um descriptografador para uma variante do ransomware Mallox, explorando uma falha em sua estrutura criptográfica. Essa variante foi observada em ataques de janeiro de 2023 a fevereiro de 2024.
As vítimas atacadas por essa variante específica do ransomware Mallox podem ter a chance de recuperar seus arquivos gratuitamente, de acordo com o pesquisador Ladislav Zezula. Ele observou que a falha no esquema de criptografia foi corrigida em março de 2024, o que significa que os arquivos criptografados por versões posteriores do Mallox não podem mais ser descriptografados usando a falha.
Além disso, uma afiliada da operação Mallox, também conhecida como TargetCompany, foi encontrada usando uma versão modificada do ransomware Kryptina—chamado Mallox v1.0—para comprometer sistemas Linux.
O pesquisador do SentinelOne, Jim Walter observou que essas variantes do Mallox baseadas em Kryptina são específicas de afiliadas, distintas de outras versões do Linux Mallox, o que reflete a complexidade do cenário de ransomware atual. Ele enfatizou que o ecossistema se tornou um “zoológico de conjuntos de ferramentas de polinização cruzada e bases de código não lineares.”
O ransomware continua a representar uma ameaça significativa, com 1.255 ataques registrados no terceiro trimestre de 2024 — abaixo dos 1.325 no trimestre anterior, de acordo com a análise da Symantec de dados de sites de vazamento de ransomware.
O Relatório de Defesa Digital da Microsoft, abrangendo junho de 2023 a junho de 2024, observou um aumento de 2,75x em encontros de ransomware operados por humanos ano a ano. Curiosamente, a porcentagem de ataques que atingem a fase de criptografia caiu três vezes nos últimos dois anos.
O declínio do LockBit após uma derrubada policial em fevereiro de 2024 permitiu que outros grupos, como RansomHub, Qilin (também conhecido como Agenda) e Akira, ganhassem destaque. Notavelmente, Akira voltou às suas táticas de dupla extorsão após experimentar brevemente apenas exfiltração de dados e extorsão no início de 2024.
Durante esse período, a Talos observou operadores de ransomware-as-a-service (RaaS) da Akira desenvolvendo uma variante Rust de seu criptografador ESXi, melhorando constantemente sua funcionalidade enquanto se afastava do C++ e experimentava diferentes abordagens de codificação.
Os ataques de Akira têm se apoiado cada vez mais em credenciais de VPN comprometidas e falhas de segurança recentemente divulgadas para se infiltrar em redes, aumentar privilégios e se mover lateralmente para fortalecer sua posição em ambientes comprometidos.
Entre as vulnerabilidades exploradas pelos afiliados da Akira estão as seguintes:
- CVE-2020-3259
- CVE-2023-20263
- CVE-2023-20269
- CVE-2023-27532
- CVE-2023-48788
- CVE-2024-37085
- CVE-2024-40711
- CVE-2024-40766
De acordo com os pesquisadores do Talos, James Nutland e Michael Szeliga, o Akira tem como alvo inúmeras organizações em 2024, particularmente aquelas nos setores de serviços de manufatura, profissionais, científicos e técnicos.
Eles também sugeriram que o Akira pode estar se afastando de sua variante Akira v2 baseada em Rust e voltando às táticas anteriores, incluindo o uso de C++ para seus criptografadores Windows e Linux.
Fonte: TheHackerNews
