據(jù)The Hacker News消息，有攻擊者正濫用 Amazon S3 Transfer Acceleration 功能實(shí)施勒索軟件攻擊，并將 Golang 勒索軟件偽裝成臭名昭著的LockBit，以迫使受害者支付贖金。

趨勢科技的研究人員稱，勒索軟件工具被發(fā)現(xiàn)嵌入了硬編碼的AWS憑證，以方便將數(shù)據(jù)外泄到云中，表明攻擊者正越來越多地利用流行的云服務(wù)提供商來實(shí)施攻擊活動。

攻擊流程

據(jù)推測，該活動中使用的AWS賬戶來自攻擊者自身所屬，或者是被泄露的賬戶。 在向 AWS 安全團(tuán)隊(duì)進(jìn)行披露后，已確認(rèn)的 AWS 訪問密鑰和賬戶已被暫停。

趨勢科技表示，已檢測到30多個嵌入了AWS訪問密鑰ID和秘密訪問密鑰的樣本，表明惡意軟件的開發(fā)工作仍在進(jìn)行中。 目前還不清楚這種跨平臺勒索軟件是如何發(fā)送到目標(biāo)主機(jī)上的，一旦被執(zhí)行，就會獲取設(shè)備的通用唯一標(biāo)識符（UUID），并執(zhí)行一系列步驟生成加密文件所需的主密鑰。

初始化步驟之后，攻擊者會枚舉根目錄并加密與指定擴(kuò)展名列表相匹配的文件，但在此之前，攻擊者會通過 S3 Transfer Acceleration (S3TA) 將文件滲入 AWS 以加快數(shù)據(jù)傳輸。

加密文件完成后，勒索軟件會將壁紙更改為顯示有LockBit的圖像，以此讓受害者誤以為自己被強(qiáng)大的LockBit勒索軟件攻擊。

顯示LockBit 2.0字樣的壁紙

研究人員稱，攻擊者還可能把他們的勒索軟件樣本偽裝成另一個更廣為人知的變種，因?yàn)樵绞侵睦账鬈浖涫故芎φ咴饺菀字Ц囤H金。

在今年2月多國執(zhí)法部門針對LockBit 基礎(chǔ)設(shè)施進(jìn)行聯(lián)合打擊后，該惡意軟件活動已經(jīng)縮減，但其他勒索軟件如RansomHub、Akira已越發(fā)活躍，后者在年初短暫地單獨(dú)進(jìn)行數(shù)據(jù)竊取和勒索攻擊后，又轉(zhuǎn)回了威脅更大的雙重勒索戰(zhàn)術(shù)。