Agentes de ameaças foram observados abusando do recurso de Aceleração de Transferência do Amazon S3 (Simple Storage Service) como parte de ataques de ransomware projetados para exfiltrar dados de vítimas e carregá-los em buckets S3 sob seu controle.
"Foram feitas tentativas de disfarçar o ransomware Golang como o notório ransomware LockBit", disseram os pesquisadores da Trend Micro, Jaromir Horejsi e Nitesh Surana.
No entanto, esse não é o caso, e o atacante parece estar apenas se aproveitando da notoriedade do LockBit para apertar ainda mais o cerco sobre suas vítimas.
Os artefatos do ransomware foram encontrados incorporando credenciais do Amazon Web Services (AWS) codificadas para facilitar a exfiltração de dados para a nuvem, um sinal de que os adversários estão cada vez mais armando provedores de serviços de nuvem populares para esquemas maliciosos.
A conta AWS usada na campanha presume-se ser própria ou comprometida.
Após a divulgação responsável para a equipe de segurança da AWS, as chaves de acesso e contas AWS identificadas foram suspensas.
A Trend Micro disse ter detectado mais de 30 amostras com os IDs de Chave de Acesso AWS e as Chaves de Acesso Secretas embutidas, sinalizando um desenvolvimento ativo.
O ransomware é capaz de mirar sistemas Windows e macOS.
Não se sabe exatamente como o ransomware cross-platform é entregue ao host alvo, mas uma vez executado, obtém o identificador único universal (UUID) da máquina e executa uma série de etapas para gerar a chave mestra necessária para criptografar os arquivos.
A etapa de inicialização é seguida pela enumeração dos diretórios raiz pelo atacante e criptografia de arquivos que correspondam a uma lista especificada de extensões, mas não antes de exfiltrá-los para o AWS via S3 Transfer Acceleration (S3TA) para uma transferência de dados mais rápida.
"Após a criptografia, o arquivo é renomeado de acordo com o formato a seguir: <nome do arquivo original>.<vetor de inicialização>.abcd", disseram os pesquisadores.
"Por exemplo, o arquivo texto.txt foi renomeado para texto.txt.e5c331611dd7462f42a5e9776d2281d3.abcd."
No estágio final, o ransomware altera o papel de parede do dispositivo para exibir uma imagem que menciona LockBit 2.0 em uma provável tentativa de compelir as vítimas a pagarem o resgate.
"Os agentes de ameaças podem também disfarçar sua amostra de ransomware como outra variante mais conhecida publicamente, e não é difícil entender o porquê: a infâmia de ataques de ransomware de alto perfil pressiona ainda mais as vítimas a seguir as ordens do atacante", disseram os pesquisadores.
Este desenvolvimento ocorre quando a Gen Digital lançou um descriptografador para uma variante de ransomware Mallox que foi observada na natureza de janeiro de 2023 até fevereiro de 2024, aproveitando uma falha no esquema criptográfico.
"Vítimas do ransomware podem ser capazes de restaurar seus arquivos gratuitamente se foram atacadas por essa variante específica de Mallox", disse o pesquisador Ladislav Zezula.
A falha cripto foi corrigida por volta de março de 2024, portanto, não é mais possível descriptografar dados criptografados por versões posteriores do ransomware Mallox.
Vale mencionar que um afiliado da operação Mallox, também conhecido como TargetCompany, foi descoberto usando uma versão ligeiramente modificada do ransomware Kryptina – codinome Mallox v1.0 – para violar sistemas Linux.
"As variantes derivadas de Kryptina do Mallox são específicas do afiliado e separadas de outras variantes Linux do Mallox que surgiram desde então, uma indicação de como a paisagem do ransomware evoluiu para um complexo mosaico de conjuntos de ferramentas cruzadas e bases de código não lineares", observou o pesquisador da SentinelOne, Jim Walter, no último mês.
Ransomware continua sendo uma grande ameaça, com 1.255 ataques reivindicados no terceiro trimestre de 2024, abaixo dos 1.325 no trimestre anterior, de acordo com a análise da Symantec de dados obtidos de sites de vazamento de ransomware.
A Microsoft, em seu Relatório de Defesa Digital para o período de um ano de junho de 2023 a junho de 2024, disse ter observado um aumento de 2,75x ano a ano em encontros ligados a ransomware operado por humanos, enquanto a porcentagem de ataques que alcançam a fase de criptografia real diminuiu nos últimos dois anos em três vezes.
Alguns dos principais beneficiários do declínio do LockBit após uma operação de aplicação da lei internacional visando sua infraestrutura em fevereiro de 2024 têm sido RansomHub, Qilin (também conhecido como Agenda) e Akira, este último retornando às táticas de extorsão dupla após flertar brevemente apenas com ataques de exfiltração e extorsão de dados no início de 2024.
"Durante esse período, começamos a ver os operadores do ransomware-as-a-service (RaaS) do Akira desenvolvendo uma variante Rust de seu criptografador ESXi, construindo iterativamente nas funções do payload enquanto se afastavam do C++ e experimentavam diferentes técnicas de programação", disse a Talos.
Ataques envolvendo Akira também aproveitaram credenciais VPN comprometidas e falhas de segurança recém-divulgadas para infiltrar redes, bem como escalar privilégios e mover-se lateralmente dentro de ambientes comprometidos como parte dos esforços projetados para estabelecer uma presença mais profunda.
Algumas das vulnerabilidades exploradas pelos afiliados do Akira estão listadas abaixo:
CVE-2020-3259
CVE-2023-20263
CVE-2023-20269
CVE-2023-27532
CVE-2023-48788
CVE-2024-37085
CVE-2024-40711, e
CVE-2024-40766
"Ao longo de 2024, Akira tem visado um número significativo de vítimas, com uma clara preferência por organizações nos setores de manufatura e serviços profissionais, científicos e técnicos", disseram os pesquisadores da Talos, James Nutland e Michael Szeliga.
Akira pode estar transitando do uso da variante Akira v2 baseada em Rust e retornando para TTPs anteriores usando criptografadores para Windows e Linux escritos em C++.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...