spot_img
10.1 C
São Paulo
spot_img
HomeTop Global NewsAIComo Ransomware Usa Amazon S3: Um Alerta Urgente

Como Ransomware Usa Amazon S3: Um Alerta Urgente

Como Ransomware Usa Amazon S3: Um Alerta Urgente
#Ransomware, #AmazonS3, #SegurançaCibernética, #AtaquesCibernéticos, #TrendMicro, #AWS, #Cibersegurança, #LockBit
Alegon
By Alegon

Abuso do Amazon S3 em Ataques de Ransomware: Um Estudo de Caso Recente

Registrar o abuso da funcionalidade Transfer Acceleration do Amazon S3 (Simple Storage Service) em ataques de ransomware revela como os atores de ameaças estão se adaptando e utilizando tecnologias existentes para avançar suas metas maliciosas. Este artigo aborda as recentes descobertas feitas por pesquisadores da Trend Micro, bem como as implicações mais amplas do uso de serviços em nuvem em campanhas de ransomware.

Ransomware e o Impersonation de LockBit

Recentemente, tentativas foram relatadas de disfarçar um ransomware escrito em Golang como o notório LockBit. Segundo os pesquisadores Jaromir Horejsi e Nitesh Surana, “o atacante parece estar capitalizando a notoriedade do LockBit para apertar ainda mais o laço em suas vítimas”. Esta abordagem demonstra uma estratégia psicológica de manipulação, onde o medo associado a uma variante conhecida é utilizado para intimidar os alvos a pagar.

Armamento de Credenciais da AWS

Os artefatos de ransomware têm incorporado credenciais da Amazon Web Services (AWS) embutidas, o que indica que os adversários estão cada vez mais armando provedores de serviços em nuvem populares para executar seus esquemas maliciosos. Observou-se que mais de 30 amostras continham IDs de Chaves de Acesso da AWS e Chaves Secretas, sinalizando um desenvolvimento ativo. O uso de tais métodos evidencia a crescente complexidade e sofisticação dos ataques cibernéticos.

Métodos de Executação do Ransomware

Embora os métodos de entrega do ransomware cruzado não sejam completamente conhecidos, as suas etapas de operação incluem:

  1. Execução inicial do malware.
  2. Obtenção do identificador único universal (UUID) da máquina.
  3. Geração de uma chave mestra para criptografar arquivos específicos.
  4. Enumeração dos diretórios raiz e criptografia de arquivos com extensões correspondentes.

Exfiltração de Dados via S3 Transfer Acceleration

Antes de realizar a criptografia, o ransomware exfiltra dados para a AWS utilizando o S3 Transfer Acceleration (S3TA), uma funcionalidade que permite transferências de dados mais rápidas. A técnica é considerada uma violação dos princípios de segurança de dados, considerando o objetivo destrutivo associado ao uso do serviço.

Renomeação e Intimidação das Vítimas

“Após a criptografia, o arquivo é renomeado de acordo com o seguinte formato: <nome do arquivo original>.<vetor de inicialização>.abcd.”

Esse renomeio não só obscura o arquivo original como também serve como um mecanismo de intimidação para as vítimas, que recebem uma mensagem claramente associada ao LockBit 2.0 em seus papéis de parede, reforçando a mensagem de coação.

Desenvolvimentos Recentes e Respostas do Mercado

Em um cenário mais amplo, o progresso do ransomware não se limita à variante LockBit, mas também inclui a liberação de um descriptografador para a variante Mallox, explorada de janeiro a fevereiro de 2024. Esta variante utilizava uma falha no esquema criptográfico, permitindo que algumas vítimas recuperassem seus arquivos gratuitamente.

Transições no Uso de Ferramentas

A afiliada da operação Mallox, conhecida como TargetCompany, tem utilizado uma versão ligeiramente modificada do ransomware Kryptina, indicando como o cenário de ransomware evoluiu em um domínio onde variantes de código se misturam.

O Cenário dos Ataques Akira

Os ataques de ransomware Akira também têm visto um aumento, com a exploração de falhas em credenciais de VPN e vulnerabilidades recém-divulgadas para infiltração em redes. Os pesquisadores Talos destacaram a evolução das táticas, técnicas e procedimentos (TTPs) dos operadores de Akira, assim como suas preferências para atacar setores específicos como manufatura e serviços científicos.

Vulnerabilidades Exploradas

As vulnerabilidades exploradas pelos afiliados do Akira incluem:

Conclusão

O cenário de ransomware continua a evoluir de maneira alarmante, com atores de ameaças adaptando suas técnicas para explorar vulnerabilidades e maximizar o impacto de seus ataques. A utilização da AWS S3, juntamente com inovações constantes nos métodos de criptografia e intimidação, sublinha a necessidade urgente de uma vigilância mais rigorosa e abordagens proativas na segurança cibernética.

Ransomware

#Ransomware, #AmazonS3, #SegurançaCibernética, #AtaquesCibernéticos, #TrendMicro, #AWS, #Cibersegurança, #LockBit

Fonte

Previous article
Furno Revoluciona Produção de Cimento com Inovação Sustentável
Next article
Cultura Organizacional: A Chave para Segurança em SaaS

latest articles

explore more

Bem-vindo ao meu site! Aqui você encontrará assuntos que fazem parte do meu dia a dia, com temas variados que refletem meus interesses e experiências. Sente-se, pegue um café e aproveite o conteúdo que preparei com carinho. Tenho certeza de que você vai curtir!

most viewed

trending right now

Copyright © Alegon.

Disclaimer

FAQ

Cookies

Privacy

About

Contact us