假冒LockBit,勒索软件滥用 AWS S3窃取数据
原文中文,约900字,阅读约需3分钟。
📝
内容提要
攻击者利用Amazon S3 Transfer Acceleration功能实施勒索软件攻击,伪装成LockBit勒索软件,迫使受害者支付赎金。恶意软件中嵌入硬编码的AWS凭证,显示攻击者利用云服务进行数据外泄。该勒索软件加密特定文件,通过S3TA加快数据传输,并更改壁纸以误导受害者。
🎯
关键要点
-
攻击者利用Amazon S3 Transfer Acceleration功能实施勒索软件攻击,伪装成LockBit勒索软件。
-
恶意软件中嵌入硬编码的AWS凭证,显示攻击者利用云服务进行数据外泄。
-
攻击流程中使用的AWS账户可能来自攻击者自身或被泄露的账户。
-
已确认的AWS访问密钥和账户已被暂停,恶意软件的开发工作仍在进行中。
-
勒索软件获取设备的UUID并加密特定扩展名的文件,通过S3TA加快数据传输。
-
加密完成后,勒索软件更改壁纸以误导受害者,显示LockBit的图像。
-
攻击者可能伪装成知名勒索软件以增加受害者支付赎金的可能性。
-
尽管LockBit活动缩减,其他勒索软件如RansomHub和Akira仍在活跃。
❓
延伸问答
攻击者是如何利用AWS S3进行勒索软件攻击的?
攻击者利用Amazon S3 Transfer Acceleration功能,将伪装成LockBit的勒索软件嵌入硬编码的AWS凭证,以加快数据传输并实施攻击。
这种勒索软件是如何加密文件的?
勒索软件获取设备的UUID后,会枚举根目录并加密与指定扩展名匹配的文件。
攻击者为什么选择伪装成LockBit勒索软件?
攻击者伪装成知名的LockBit勒索软件,以增加受害者支付赎金的可能性。
AWS安全团队对攻击者的行动采取了什么措施?
AWS安全团队确认了被泄露的AWS访问密钥和账户,并已暂停这些账户。
目前有哪些其他活跃的勒索软件?
除了LockBit,其他活跃的勒索软件包括RansomHub和Akira。
攻击者如何加快数据传输?
攻击者通过S3 Transfer Acceleration (S3TA)功能加快数据传输。
🏷️
