Bandas de ransomware usan la fama de LockBit para intimidar víctimas

Iniciado por Dragora, Octubre 23, 2024, 09:54:49 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.


Recientemente, se ha detectado que los actores de amenazas están explotando la función de aceleración de transferencias de Amazon S3 (Simple Storage Service) para realizar ataques de ransomware dirigidos a exfiltrar los datos de las víctimas. Estos datos son transferidos rápidamente y almacenados en buckets de S3 controlados por los atacantes. Este enfoque permite a los ciberdelincuentes abusar de la infraestructura de la nube para sus fines maliciosos.

Investigadores de Trend Micro, como Jaromir Horejsi y Nitesh Surana, han identificado intentos de disfrazar ransomware escrito en Golang como el infame ransomware LockBit, una de las amenazas de ciberseguridad más conocidas. No obstante, han aclarado que esto es solo una táctica para aprovechar la notoriedad de LockBit y generar más presión sobre las víctimas, lo que es una estrategia común en los ataques de ransomware de alto perfil.

Uso de AWS en ataques de ransomware

El análisis también reveló que los artefactos de ransomware incrustan credenciales de Amazon Web Services (AWS) codificadas, lo que facilita la exfiltración de datos a través de la nube. Esta táctica resalta cómo los atacantes están utilizando servicios en la nube populares como armas para sus esquemas maliciosos. Los investigadores de Trend Micro también descubrieron más de 30 muestras con ID de clave de acceso y claves de acceso secretas incrustadas, lo que indica un desarrollo activo de estos ataques.

Se presume que las cuentas de AWS utilizadas en estas campañas de ransomware son gestionadas directamente por los atacantes o han sido comprometidas previamente. Tras la divulgación de estas actividades al equipo de seguridad de AWS, se tomaron medidas inmediatas para suspender las claves de acceso y las cuentas comprometidas.

Funcionamiento del ransomware multiplataforma

Este ransomware tiene la capacidad de atacar tanto sistemas Windows como macOS. Aunque no se conoce con exactitud cómo el malware llega al host objetivo, una vez ejecutado, el ransomware recopila el Identificador Único Universal (UUID) de la máquina afectada. Luego, lleva a cabo una serie de pasos que incluyen la generación de una clave maestra necesaria para cifrar los archivos. Antes de cifrarlos, el ransomware exfiltra los archivos a través de la función de S3 Transfer Acceleration (S3TA), lo que facilita una transferencia de datos más rápida y eficiente a los servidores de los atacantes.

Una vez completado el proceso de cifrado, los archivos se renombran siguiendo un formato específico: <nombre de archivo original>.<vector de inicialización>.abcd. Por ejemplo, un archivo llamado "text.txt" se transformaría en "text.txt.e5c331611dd7462f42a5e9776d2281d3.abcd". Además, el fondo de pantalla del dispositivo de la víctima es modificado para mostrar una imagen que menciona LockBit 2.0, lo que refuerza la intimidación y fomenta el pago del rescate.

Disfraz y presión sobre las víctimas

El uso de tácticas de disfraz en los ataques de ransomware no es nuevo, y los ciberdelincuentes suelen aprovechar la reputación de otros malware conocidos para presionar más a las víctimas. Los investigadores de Trend Micro señalaron que la notoriedad de LockBit y otros ransomwares de alto perfil hace que las víctimas se sientan más amenazadas, lo que puede aumentar la probabilidad de que cedan ante las demandas de los atacantes.

Casos recientes y herramientas de descifrado

Un desarrollo reciente es el lanzamiento de un descifrador por parte de Gen Digital para una variante del ransomware Mallox, detectada entre enero de 2023 y febrero de 2024. Este descifrador se creó después de que los investigadores descubrieran una falla en el esquema criptográfico del malware. Según el investigador Ladislav Zezula, las víctimas de esta variante específica de Mallox pueden restaurar sus archivos de forma gratuita. Sin embargo, esta vulnerabilidad fue corregida en marzo de 2024, lo que significa que las versiones posteriores del ransomware ya no son vulnerables a este descifrador.

Además, una filial de la operación Mallox, conocida como TargetCompany, ha utilizado una versión ligeramente modificada del ransomware Kryptina, conocida como Mallox v1.0, para atacar sistemas Linux. Esto resalta la evolución constante del panorama del ransomware, que se ha transformado en una compleja red de herramientas y códigos compartidos entre varios actores de amenazas.

Perspectivas sobre el ransomware en 2024

El ransomware sigue siendo una amenaza crítica. En el tercer trimestre de 2024, se reportaron 1.255 ataques de ransomware, una leve disminución respecto a los 1.325 ataques del trimestre anterior, según un informe de Symantec. No obstante, Microsoft advirtió en su Informe de Defensa Digital 2024 que los ataques de ransomware operados por humanos han aumentado 2,75 veces en comparación con el año anterior, y el número de ataques que alcanzan la fase de cifrado se ha triplicado en los últimos dos años.

En resumen, los actores de amenazas continúan adaptándose y utilizando nuevas técnicas, como el abuso de los servicios en la nube, para lanzar ataques más sofisticados y efectivos. La evolución de variantes como Mallox y el uso de Amazon S3 para exfiltración de datos subrayan la importancia de implementar medidas de seguridad robustas y estar alerta ante las amenazas emergentes

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta