Ransomware-Banden nutzen den Ruf von LockBit aus, um Opfer bei neuen Angriffen unter Druck zu setzen
Cyberkriminelle entwickeln ihre Taktiken ständig weiter. Eine ihrer neuesten Strategien besteht darin, den Ruf der berüchtigten Ransomware LockBit auszunutzen, um Opfer einzuschüchtern. Bei jüngsten Angriffen haben Bedrohungsakteure die Transfer Acceleration-Funktion von Amazon S3 ausgenutzt, um Daten zu exfiltrieren. Dabei verwenden sie den Namen LockBit, um Angst zu schüren, obwohl es sich nicht um die eigentliche Ransomware handelt.
Ein wachsender Trend: Missbrauch von Cloud-Diensten
Sicherheitsforscher von Trend Micro haben einen Anstieg von Ransomware -Gruppen beobachtet, die Amazon Web Services (AWS) missbrauchen. Angreifer betten jetzt AWS-Anmeldeinformationen in ihre Malware ein, um Daten effizienter zu stehlen, indem sie sie in S3-Buckets hochladen, die unter ihrer Kontrolle stehen. Während Angreifer entweder ihre eigenen oder gestohlenen AWS-Konten verwenden können, ist das Ergebnis dasselbe: vertrauliche Daten landen in ihren Händen. Glücklicherweise hat AWS schnell reagiert und die kompromittierten Konten gesperrt, nachdem Trend Micro darauf aufmerksam gemacht hatte.
Dieser Trend deutet darauf hin, dass Cyberkriminelle immer geschickter darin werden, beliebte Cloud-Dienste für ihre Angriffe zu instrumentalisieren. Trend Micro entdeckte über 30 Beispiele mit AWS-Zugriffsschlüsseln, was darauf schließen lässt, dass diese Kampagnen aktiv sind und sich ausweiten.
Als LockBit getarnt, um die Schlinge enger zu ziehen
Bei diesen Angriffen versuchten die Ransomware-Betreiber, ihre Malware als LockBit zu tarnen, einen berüchtigten Namen in der Ransomware-Welt. Durch die Verwendung des Namens von LockBit wollten die Angreifer psychologischen Druck ausüben und die Opfer dazu bringen, das Lösegeld aus Angst zu zahlen. Die in Golang geschriebene Ransomware kann sowohl Windows- als auch macOS-Systeme infizieren, ist aber nicht direkt mit der ursprünglichen LockBit-Gruppe verbunden.
Nach der Ausführung schnappt sich die Ransomware die eindeutige Kennung (UUID) eines Computers, die zur Generierung eines Hauptschlüssels zum Verschlüsseln von Dateien verwendet wird. Sie zielt auf bestimmte Dateitypen ab, exfiltriert sie zu AWS und benennt die Dateien dabei um. Beispielsweise wird eine Datei mit dem Namen „text.txt“ nach der Verschlüsselung zu „text.txt.
Um den Angstfaktor zu erhöhen, ändert die Ransomware schließlich das Hintergrundbild des Opfers in eine LockBit 2.0-Nachricht und verbindet den Angriff fälschlicherweise mit der bekannten Ransomware-Bande.
Die Bedrohungslandschaft durch Ransomware entwickelt sich weiter
Diese Entwicklungen kommen zu einer Zeit, in der sich die Ransomware-Landschaft weiter verändert. Während LockBit durch internationale Strafverfolgungsmaßnahmen geschwächt wurde, springen andere Gruppen wie RansomHub, Qilin und Akira ein, um die Lücke zu füllen. Insbesondere Akira ist zu doppelten Erpressungstaktiken zurückgekehrt und kombiniert Datendiebstahl mit Verschlüsselung.
Die Forscher von SentinelOne haben außerdem herausgefunden, dass Mitglieder der Mallox-Ransomware-Operation damit begonnen haben, modifizierte Versionen der Kryptina-Ransomware zu verwenden, um in Linux-Systeme einzudringen. Diese Diversifizierung zeigt, wie Ransomware-Gruppen verschiedene Toolsets miteinander vermischen und komplexere, hybride Malware-Stämme erstellen.
Der Kampf gegen Ransomware
Trotz der zunehmenden Komplexität von Ransomware-Angriffen gab es auch einige positive Entwicklungen. So wurde beispielsweise von Gen Digital ein Decryptor für die Mallox-Ransomware veröffentlicht, der Opfern die Möglichkeit bietet, ihre Dateien kostenlos wiederherzustellen, wenn sie von einer früheren Variante betroffen waren. Dies ist zwar keine Lösung für alle Ransomware-Opfer, zeigt aber, dass im Kampf gegen diese Bedrohungen Fortschritte erzielt werden.
Darüber hinaus stellte Microsoft in seinem jüngsten Bericht fest, dass zwar das Gesamtvolumen der Ransomware-Angriffe zurückgegangen ist, die Zahl der von Menschen ausgeführten Ransomware-Vorfälle jedoch dramatisch zugenommen hat. Diese Entwicklung deutet auf gezieltere Angriffe hin, bei denen Cyberkriminelle ihre Operationen aktiv steuern, was den Druck auf die Organisationen erhöht, wachsam zu bleiben.
Ransomware-Angriffe entwickeln sich ständig weiter. Angreifer missbrauchen zunehmend Cloud-Dienste und tarnen ihre Bemühungen unter bekannten Namen wie LockBit. Die zunehmende Komplexität dieser Angriffe bedeutet, dass Unternehmen immer einen Schritt voraus sein müssen, in robuste Cybersicherheitsmaßnahmen investieren und gegenüber neuen Bedrohungen vorsichtig bleiben müssen. Während einige Erfolge, wie die Veröffentlichung von Decryptern, ein Schritt in die richtige Richtung sind, ist der Kampf gegen Ransomware noch lange nicht vorbei.