Les gangs de ransomware exploitent la réputation de LockBit pour faire pression sur les victimes lors de nouvelles attaques
Les cybercriminels font évoluer constamment leurs tactiques, et l'une de leurs dernières stratégies consiste à exploiter la réputation du célèbre ransomware LockBit pour intimider leurs victimes. Lors d'attaques récentes, des acteurs malveillants ont exploité la fonction Transfer Acceleration d'Amazon S3 pour exfiltrer des données, en utilisant le nom de LockBit pour susciter la peur, même s'il ne s'agit pas du ransomware en question.
Une tendance croissante : l’utilisation abusive des services cloud
Les chercheurs en sécurité de Trend Micro ont observé une augmentation du nombre de groupes de ransomware exploitant Amazon Web Services (AWS). Les attaquants intègrent désormais les identifiants AWS dans leurs programmes malveillants pour voler des données plus efficacement en les téléchargeant dans des buckets S3 sous leur contrôle. Bien que les attaquants puissent utiliser leurs propres comptes AWS ou des comptes volés, le résultat est le même : des données sensibles finissent entre leurs mains. Heureusement, AWS a agi rapidement, en suspendant les comptes compromis une fois alerté par Trend Micro.
Cette tendance indique que les cybercriminels sont de plus en plus habiles à utiliser les services cloud les plus populaires pour alimenter leurs attaques. Trend Micro a découvert plus de 30 échantillons contenant des clés d'accès AWS, ce qui suggère que ces campagnes sont actives et en pleine expansion.
Se déguiser en LockBit pour resserrer l'étau
Lors de ces attaques, les opérateurs de ransomware ont tenté de déguiser leur malware en LockBit, un nom bien connu dans le monde des ransomwares. En invoquant le nom de LockBit, les attaquants cherchaient à ajouter une pression psychologique, rendant les victimes plus susceptibles de payer la rançon par peur. Le ransomware, écrit en Golang, peut infecter les systèmes Windows et macOS, mais il n'est pas directement lié au groupe LockBit d'origine.
Une fois exécuté, le ransomware récupère l'identifiant unique d'une machine (UUID), qui est utilisé pour générer une clé principale pour le chiffrement des fichiers. Il cible des types de fichiers spécifiques, les exfiltre vers AWS et renomme les fichiers au cours du processus. Par exemple, un fichier appelé « text.txt » devient « text.txt.
Enfin, pour intensifier le facteur de peur, le ransomware change le fond d'écran de la victime en un message LockBit 2.0, reliant à tort l'attaque au gang de ransomware bien connu.
Évolution du paysage des menaces liées aux ransomwares
Ces développements surviennent alors que le paysage des ransomwares continue de changer. Alors que LockBit a été affaibli par les efforts internationaux des forces de l’ordre , d’autres groupes comme RansomHub, Qilin et Akira interviennent pour combler le vide. Akira, en particulier, a recouru à des tactiques de double extorsion, combinant vol de données et chiffrement.
Les chercheurs de SentinelOne ont également découvert que des affiliés de l’opération de ransomware Mallox ont commencé à utiliser des versions modifiées du ransomware Kryptina pour pirater les systèmes Linux. Cette diversification met en évidence la manière dont les groupes de ransomwares croisent différents ensembles d’outils et créent des souches de malwares hybrides plus complexes.
La lutte contre les ransomwares
Malgré la complexité croissante des attaques de ransomware, on observe quelques évolutions positives. Par exemple, un décrypteur pour le ransomware Mallox a été publié par Gen Digital, offrant aux victimes la possibilité de récupérer gratuitement leurs fichiers si elles ont été touchées par une variante antérieure. Bien que cela ne soit pas une solution pour toutes les victimes de ransomware, cela montre que des progrès sont réalisés dans la lutte contre ces menaces.
En outre, le récent rapport de Microsoft indique que si le volume global des attaques de ransomware a diminué, les incidents de ransomware déclenchés par des humains ont augmenté de manière spectaculaire. Cette évolution indique des attaques plus ciblées où les cybercriminels gèrent activement leurs opérations, augmentant la pression sur les organisations pour qu'elles restent vigilantes.
Les attaques de ransomware continuent d’évoluer. Les attaquants abusent de plus en plus des services cloud et dissimulent leurs efforts sous des noms bien connus comme LockBit. La complexité croissante de ces attaques signifie que les entreprises doivent garder une longueur d’avance, investir dans des mesures de cybersécurité robustes et rester prudentes face aux menaces émergentes. Si certaines victoires, comme la publication de décrypteurs, constituent un pas dans la bonne direction, la lutte contre les ransomwares est loin d’être terminée.