Negli ultimi attacchi di ransomware, alcuni gruppi stanno sfruttando la notorietà di LockBit per intimidire le vittime. Questi attori malevoli cercano di capitalizzare la fama di LockBit per esercitare ulteriore pressione sulle vittime, spingendole a cedere alle loro richieste. Le indagini di Trend Micro hanno rivelato che questi attacchi utilizzano funzionalità di Amazon S3 per esfiltrare dati delle vittime, caricandoli su bucket S3 controllati dagli aggressori. Questo approccio evidenzia come i criminali stiano sempre più sfruttando i servizi cloud per condurre attività dannose. Le credenziali AWS utilizzate in queste campagne sono state sospese, grazie alla collaborazione con il team di sicurezza di AWS.

Il ransomware in questione è stato progettato per colpire sia sistemi Windows che macOS, sfruttando credenziali AWS integrate per facilitare l'esfiltrazione dei dati nel cloud. Non è ancora chiaro come il ransomware venga distribuito inizialmente, ma una volta attivato, esegue la crittografia dei file dopo averli trasferiti su AWS tramite S3 Transfer Acceleration. Questo metodo consente un trasferimento dati più rapido, aumentando l'efficacia dell'attacco.

Una volta completato il processo di crittografia, i file vengono rinominati con un nuovo formato e il dispositivo della vittima subisce una modifica del wallpaper, che mostra un messaggio relativo a LockBit 2.0. Questo tentativo è volto a intimidire ulteriormente le vittime, giocando sulla notorietà di LockBit per aumentare la pressione psicologica. I ricercatori hanno osservato che i criminali informatici spesso mascherano i loro attacchi come varianti di ransomware più conosciute per sfruttare la reputazione di questi attacchi di alto profilo.

Nel frattempo, è stato rilasciato un decryptor per una variante di ransomware Mallox, in grado di ripristinare gratuitamente i file delle vittime attaccate da questa specifica versione. La vulnerabilità nel sistema crittografico è stata corretta nel marzo 2024, rendendo impossibile decriptare i dati cifrati dalle versioni successive del ransomware. Alcuni affiliati di Mallox sono stati scoperti utilizzare varianti derivate da Kryptina per attaccare sistemi Linux, dimostrando quanto il panorama dei ransomware sia diventato complesso e variegato.

Il ransomware continua a rappresentare una minaccia significativa, con un numero crescente di attacchi osservati nel 2024. Nonostante un lieve calo rispetto al trimestre precedente, le minacce legate al ransomware rimangono una delle principali preoccupazioni per le organizzazioni di tutto il mondo. La lotta contro questi attacchi richiede una continua evoluzione delle strategie di difesa e una maggiore attenzione alla sicurezza dei servizi cloud.