Er is waargenomen dat bedreigingsactoren misbruik maken van de Amazon S3 (Simple Storage Service) Transfer Acceleration-functie als onderdeel van ransomware-aanvallen die zijn ontworpen om slachtoffergegevens te exfiltreren en deze te uploaden naar S3-buckets onder hun controle.
“Er zijn pogingen ondernomen om de Golang-ransomware te vermommen als de beruchte LockBit-ransomware”, aldus Trend Micro-onderzoekers Jaromir Horejsi en Nitesh Surana. “Dat is echter niet het geval en de aanvaller lijkt alleen maar te profiteren van de bekendheid van LockBit om de strop voor zijn slachtoffers nog verder aan te halen.”
Er is vastgesteld dat de ransomware-artefacten hardgecodeerde Amazon Web Services (AWS)-referenties bevatten om data-exfiltratie naar de cloud te vergemakkelijken, een teken dat kwaadwillenden steeds meer populaire cloudserviceproviders bewapenen voor kwaadaardige plannen.
Er wordt aangenomen dat het AWS-account dat in de campagne wordt gebruikt, van henzelf is of gecompromitteerd is. Na verantwoorde openbaarmaking aan het AWS-beveiligingsteam zijn de geïdentificeerde AWS-toegangssleutels en -accounts opgeschort.
Trend Micro zei dat het meer dan 30 monsters heeft gedetecteerd waarin de AWS Access Key ID’s en de Secret Access Keys zijn ingebed, wat duidt op actieve ontwikkeling. De ransomware kan zich zowel op Windows- als macOS-systemen richten.
Het is niet precies bekend hoe de platformonafhankelijke ransomware wordt afgeleverd bij een doelhost, maar zodra deze is uitgevoerd, verkrijgt deze de Universal Unique Identifier (UUID) van de machine en voert een reeks stappen uit om de hoofdsleutel te genereren die nodig is voor het coderen van de bestanden.
De initialisatiestap wordt gevolgd door het opsommen van de hoofdmappen en het coderen van bestanden die overeenkomen met een gespecificeerde lijst met extensies, maar niet voordat de aanvaller deze naar AWS heeft geëxfiltreerd via S3 Transfer Acceleration (S3TA) voor snellere gegevensoverdracht.
“Na de codering wordt het bestand hernoemd volgens het volgende formaat:
In de laatste fase verandert de ransomware de achtergrond van het apparaat zodat een afbeelding wordt weergegeven waarop LockBit 2.0 wordt vermeld, in een waarschijnlijke poging om slachtoffers te dwingen te betalen.
“Dreigingsactoren kunnen hun ransomware-exemplaar ook vermommen als een andere, meer algemeen bekende variant, en het is niet moeilijk te begrijpen waarom: de schande van spraakmakende ransomware-aanvallen zet slachtoffers nog meer onder druk om het bod van de aanvaller uit te voeren”, aldus de onderzoekers.
De ontwikkeling komt op het moment dat Gen Digital een decryptor uitbracht voor een Mallox-ransomwarevariant die van januari 2023 tot februari 2024 in het wild werd opgemerkt door gebruik te maken van een fout in het cryptografische schema.
“Slachtoffers van de ransomware kunnen hun bestanden mogelijk gratis herstellen als ze worden aangevallen door deze specifieke Mallox-variant”, zegt onderzoeker Ladislav Zezula. “De cryptofout werd rond maart 2024 verholpen, dus het is niet langer mogelijk om gegevens te decoderen die zijn gecodeerd door de latere versies van de Mallox-ransomware.”
Er moet worden vermeld dat een dochteronderneming van de Mallox-operatie, ook wel bekend als TargetCompany, is ontdekt met behulp van een licht gewijzigde versie van de Kryptina-ransomware – codenaam Mallox v1.0 – om Linux-systemen binnen te dringen.
“De van Kryptina afgeleide varianten van Mallox zijn affiliate-specifiek en staan los van andere Linux-varianten van Mallox die sindsdien zijn verschenen, een indicatie van hoe het ransomware-landschap is geëvolueerd naar een complexe menagerie van kruisbestuivingstoolsets en niet-lineaire codebases,” SentinelOne-onderzoeker Jim Walter merkte eind vorige maand op.
Ransomware blijft een grote bedreiging, met 1.255 geclaimde aanvallen in het derde kwartaal van 2024, vergeleken met 1.325 in het voorgaande kwartaal, volgens de analyse van Symantec van gegevens afkomstig van ransomware-lekken.
Microsoft zegt in zijn Digital Defense Report voor de periode van één jaar van juni 2023 tot juni 2024 dat het jaar-op-jaar een toename van 2,75x heeft waargenomen in door mensen bediende, aan ransomware gekoppelde ontmoetingen, terwijl het percentage aanvallen dat de daadwerkelijke encryptie bereikt fase is de afgelopen twee jaar verdrievoudigd.
Enkele van de belangrijkste begunstigden van de achteruitgang van LockBit na een internationale wetshandhavingsoperatie gericht op de infrastructuur in februari 2024 waren RansomHub, Qilin (ook bekend als Agenda) en Akira, waarvan de laatste is teruggekeerd naar dubbele afpersingstactieken na kort te hebben geflirt met data-exfiltratie. en alleen al afpersingsaanvallen begin 2024.
“Tijdens deze periode zagen we dat Akira ransomware-as-a-service (RaaS)-operators een Rust-variant van hun ESXi-encryptor ontwikkelden, iteratief voortbouwend op de functies van de payload, terwijl ze afstand namen van C++ en experimenteerden met verschillende programmeertechnieken”, zegt Talos. gezegd.
Bij aanvallen waarbij Akira betrokken was, is ook gebruik gemaakt van gecompromitteerde VPN-referenties en nieuw onthulde beveiligingsfouten om netwerken te infiltreren, en om privileges te escaleren en zich lateraal binnen gecompromitteerde omgevingen te verplaatsen als onderdeel van inspanningen om diepere voet aan de grond te krijgen.
Enkele van de kwetsbaarheden die door Akira-filialen worden uitgebuit, worden hieronder vermeld:
“Gedurende 2024 heeft Akira zich op een aanzienlijk aantal slachtoffers gericht, met een duidelijke voorkeur voor organisaties in de productie- en professionele, wetenschappelijke en technische dienstensector”, aldus Talos-onderzoekers James Nutland en Michael Szeliga.
“Akira gaat mogelijk over van het gebruik van de op Rust gebaseerde Akira v2-variant en keert terug naar eerdere TTP’s met behulp van Windows- en Linux-encryptors geschreven in C++.”
