在趋势科技的一份详细报告中,网络安全研究人员发现了一个利用亚马逊网络服务(AWS)基础设施窃取敏感数据的复杂勒索软件。该勒索软件虽然模仿了臭名昭著的 LockBit 勒索软件家族,但却是一个完全不同的实体,它利用 AWS 服务来实施其邪恶活动。
根据趋势科技的报告,这款新的勒索软件似乎模仿了勒索软件生态系统中的知名品牌LockBit,以误导受害者相信他们受到了一个更知名的组织的攻击。“报告称:”在攻击的最后阶段,设备的壁纸会变成一张提到 LockBit 的图片。鉴于 LockBit 声名狼藉,这种策略会增加受害者的压力,迫使他们满足赎金要求。
然而,趋势科技的分析显示,这种勒索软件并非 LockBit,而是一种使用亚马逊 S3 外泄数据的新病毒。攻击者利用 AWS 的 S3 Transfer Acceleration (S3TA) 等功能将受害者数据上传到他们控制的 S3 存储桶,从而实现更快的远距离数据传输。报告解释说:“S3TA使用户能够实现更快的远距离数据传输……勒索软件使用硬编码的一对凭据在攻击者控制的AWS账户上创建一个亚马逊S3桶”。
该勒索软件活动中最令人震惊的发现之一就是在勒索软件代码本身中使用了硬编码的 AWS 凭据。趋势科技发现,这些凭据被用于创建 S3 桶和外流被盗数据。“报告指出:”大多数样本都包含硬编码的 AWS 凭据,被盗数据被上传到由威胁行为者控制的亚马逊 S3 存储桶。
这种技术使攻击者能够绕过传统的网络防御系统,利用合法的云服务来窃取数据。随着云基础设施越来越成为企业不可或缺的一部分,它也为攻击者提供了新的利用途径。勒索软件不仅会加密文件,还会将文件上传到云端,使受害者更难恢复。
该勒索软件的与众不同之处在于它的多平台性。它使用 Go 编程语言(Golang)编写,能够同时针对 Windows 和 macOS 环境。Golang 的跨平台能力使威胁行为者能够开发可感染多种系统的勒索软件。趋势科技的分析报告强调了这一点,指出:“Golang 为开发人员提供了一个单一的代码库,可以为多个不同平台编译依赖关系”。
这使得勒索软件的用途极其广泛,而且难以遏制,因为它可以轻易地在不同的操作系统和网络环境中传播。
虽然 AWS 已暂停该勒索软件使用的访问密钥,但趋势科技建议企业保持警惕。除了更新软件外,企业还应审查远程访问策略,确保只有受信任的用户才能访问关键系统。
此外,跟踪与恶意活动相关联的 AWS 帐户 ID 也是一个有价值的入侵指标 (IOC)。通过监控这些帐户标识符,企业可以更好地检测和应对潜在的云威胁。