據(jù)The Hacker News消息，有攻擊者正濫用 Amazon S3 Transfer Acceleration 功能實(shí)施勒索軟件攻擊，并將 Golang 勒索軟件偽裝成臭名昭著的LockBit，以迫使受害者支付贖金。

趨勢(shì)科技的研究人員稱，勒索軟件工具被發(fā)現(xiàn)嵌入了硬編碼的AWS憑證，以方便將數(shù)據(jù)外泄到云中，表明攻擊者正越來(lái)越多地利用流行的云服務(wù)提供商來(lái)實(shí)施攻擊活動(dòng)。

攻擊流程

據(jù)推測(cè)，該活動(dòng)中使用的AWS賬戶來(lái)自攻擊者自身所屬，或者是被泄露的賬戶。 在向 AWS 安全團(tuán)隊(duì)進(jìn)行披露后，已確認(rèn)的 AWS 訪問(wèn)密鑰和賬戶已被暫停。

趨勢(shì)科技表示，已檢測(cè)到30多個(gè)嵌入了AWS訪問(wèn)密鑰ID和秘密訪問(wèn)密鑰的樣本，表明惡意軟件的開(kāi)發(fā)工作仍在進(jìn)行中。 目前還不清楚這種跨平臺(tái)勒索軟件是如何發(fā)送到目標(biāo)主機(jī)上的，一旦被執(zhí)行，就會(huì)獲取設(shè)備的通用唯一標(biāo)識(shí)符（UUID），并執(zhí)行一系列步驟生成加密文件所需的主密鑰。

初始化步驟之后，攻擊者會(huì)枚舉根目錄并加密與指定擴(kuò)展名列表相匹配的文件，但在此之前，攻擊者會(huì)通過(guò) S3 Transfer Acceleration (S3TA) 將文件滲入 AWS 以加快數(shù)據(jù)傳輸。

加密文件完成后，勒索軟件會(huì)將壁紙更改為顯示有LockBit的圖像，以此讓受害者誤以為自己被強(qiáng)大的LockBit勒索軟件攻擊。

顯示LockBit 2.0字樣的壁紙

研究人員稱，攻擊者還可能把他們的勒索軟件樣本偽裝成另一個(gè)更廣為人知的變種，因?yàn)樵绞侵睦账鬈浖涫故芎φ咴饺菀字Ц囤H金。

在今年2月多國(guó)執(zhí)法部門(mén)針對(duì)LockBit 基礎(chǔ)設(shè)施進(jìn)行聯(lián)合打擊后，該惡意軟件活動(dòng)已經(jīng)縮減，但其他勒索軟件如RansomHub、Akira已越發(fā)活躍，后者在年初短暫地單獨(dú)進(jìn)行數(shù)據(jù)竊取和勒索攻擊后，又轉(zhuǎn)回了威脅更大的雙重勒索戰(zhàn)術(shù)。