Foram observados agentes de ameaças abusando do recurso de aceleração de transferência do Amazon S3 (Easy Storage Service) como parte de ataques de ransomware projetados para exfiltrar dados de vítimas e carregá-los em buckets S3 sob seu controle.
“Foram feitas tentativas de disfarçar o ransomware Golang como o notório ransomware LockBit”, disseram os pesquisadores da Development Micro, Jaromir Horejsi e Nitesh Surana. “No entanto, esse não é o caso, e o invasor apenas parece estar capitalizando a notoriedade do LockBit para apertar ainda mais o cerco às suas vítimas”.
Descobriu-se que os artefatos de ransomware incorporam credenciais codificadas da Amazon Net Providers (AWS) para facilitar a exfiltração de dados para a nuvem, um sinal de que os adversários estão cada vez mais armando provedores de serviços de nuvem populares para esquemas maliciosos.
Presume-se que a conta da AWS usada na campanha seja própria ou comprometida. Após divulgação responsável à equipe de segurança da AWS, as chaves de acesso e contas identificadas da AWS foram suspensas.
A Development Micro disse que detectou mais de 30 amostras com os IDs de chave de acesso da AWS e as chaves de acesso secretas incorporadas, sinalizando desenvolvimento ativo. O ransomware é capaz de atingir sistemas Home windows e macOS.
Não se sabe exatamente como o ransomware multiplataforma é entregue a um host alvo, mas uma vez executado, ele obtém o identificador exclusivo common (UUID) da máquina e executa uma série de etapas para gerar a chave mestra necessária para criptografar os arquivos.
A etapa de inicialização é seguida pelo invasor enumerando os diretórios raiz e criptografando os arquivos que correspondem a uma lista especificada de extensões, mas não antes de exfiltrá-los para a AWS por meio do S3 Switch Acceleration (S3TA) para uma transferência de dados mais rápida.
“Após a criptografia, o arquivo é renomeado de acordo com o seguinte formato: ..abcd”, disseram os pesquisadores. “Por exemplo, o arquivo textual content.txt foi renomeado para textual content.txt.e5c331611dd7462f42a5e9776d2281d3.abcd.”
Na fase closing, o ransomware altera o papel de parede do dispositivo para exibir uma imagem que menciona o LockBit 2.0, numa provável tentativa de obrigar as vítimas a pagar.
“Os atores da ameaça também podem disfarçar sua amostra de ransomware como outra variante mais conhecida publicamente, e não é difícil entender por quê: a infâmia dos ataques de ransomware de alto perfil pressiona ainda mais as vítimas a cumprirem as ordens do invasor”, disseram os pesquisadores.
O desenvolvimento ocorre no momento em que a Gen Digital lança um descriptografador para uma variante do ransomware Mallox que foi detectada de janeiro de 2023 a fevereiro de 2024, aproveitando-se de uma falha no esquema criptográfico.
“As vítimas do ransomware podem restaurar seus arquivos gratuitamente se forem atacadas por esta variante específica do Mallox”, disse o pesquisador Ladislav Zezula. “A falha criptográfica foi corrigida por volta de março de 2024, portanto não é mais possível descriptografar dados criptografados pelas versões posteriores do ransomware Mallox.”
Deve-se mencionar que uma afiliada da operação Mallox, também conhecida como TargetCompany, foi descoberta usando uma versão ligeiramente modificada do ransomware Kryptina – codinome Mallox v1.0 – para violar sistemas Linux.
“As variantes do Mallox derivadas de Kryptina são específicas de afiliados e separadas de outras variantes do Mallox do Linux que surgiram desde então, uma indicação de como o cenário do ransomware evoluiu para um zoológico complexo de conjuntos de ferramentas de polinização cruzada e bases de código não lineares”, O pesquisador do SentinelOne, Jim Walter, observou no closing do mês passado.
O ransomware continua a ser uma grande ameaça, com 1.255 ataques reivindicados no terceiro trimestre de 2024, abaixo dos 1.325 no trimestre anterior, de acordo com a análise da Symantec de dados extraídos de websites de vazamento de ransomware.
A Microsoft, em seu Relatório de Defesa Digital para o período de um ano de junho de 2023 a junho de 2024, disse ter observado um aumento de 2,75x ano após ano em encontros vinculados a ransomware operados por humanos, enquanto a porcentagem de ataques que atingem a criptografia actual fase diminuiu nos últimos dois anos em três vezes.
Alguns dos principais beneficiários do declínio do LockBit após uma operação internacional de aplicação da lei visando sua infraestrutura em fevereiro de 2024 foram RansomHub, Qilin (também conhecido como Agenda) e Akira, o último dos quais voltou a usar táticas de dupla extorsão após flertar brevemente com a exfiltração de dados e ataques de extorsão apenas no início de 2024.
“Durante este período, começamos a ver os operadores de ransomware como serviço (RaaS) Akira desenvolvendo uma variante Rust de seu criptografador ESXi, construindo iterativamente as funções da carga útil enquanto se afastavam do C++ e experimentavam diferentes técnicas de programação”, Talos disse.
Os ataques envolvendo o Akira também aproveitaram credenciais VPN comprometidas e falhas de segurança recentemente divulgadas para se infiltrarem nas redes, bem como para aumentar privilégios e mover-se lateralmente em ambientes comprometidos como parte dos esforços concebidos para estabelecer uma posição mais profunda.
Algumas das vulnerabilidades exploradas pelos afiliados da Akira estão listadas abaixo:
“Ao longo de 2024, Akira teve como alvo um número significativo de vítimas, com uma clara preferência por organizações nos setores de manufatura e de serviços profissionais, científicos e técnicos”, disseram os pesquisadores da Talos, James Nutland e Michael Szeliga.
“Akira pode estar fazendo a transição do uso da variante Akira v2 baseada em Rust e retornando aos TTPs anteriores usando criptografadores Home windows e Linux escritos em C++.”