在趋势科技的一份详细报告中,网络安全研究人员发现了一个利用亚马逊网络服务(AWS)基础设施窃取敏感数据的复杂勒索软件。该勒索软件虽然模仿了臭名昭著的 LockBit 勒索软件家族,但却是一个完全不同的实体,它利用 AWS 服务来实施其邪恶活动。
根据趋势科技的报告,这款新的勒索软件似乎模仿了勒索软件生态系统中的知名品牌LockBit,以误导受害者相信他们受到了一个更知名的组织的攻击。“报告称:”在攻击的最后阶段,设备的壁纸会变成一张提到 LockBit 的图片。鉴于 LockBit 声名狼藉,这种策略会增加受害者的压力,迫使他们满足赎金要求。
然而,趋势科技的分析显示,这种勒索软件并非 LockBit,而是一种使用亚马逊 S3 外泄数据的新病毒。攻击者利用 AWS 的 S3 Transfer Acceleration (S3TA) 等功能将受害者数据上传到他们控制的 S3 存储桶,从而实现更快的远距离数据传输。报告解释说:“S3TA使用户能够实现更快的远距离数据传输……勒索软件使用硬编码的一对凭据在攻击者控制的AWS账户上创建一个亚马逊S3桶”。
该勒索软件活动中最令人震惊的发现之一就是在勒索软件代码本身中使用了硬编码的 AWS 凭据。趋势科技发现,这些凭据被用于创建 S3 桶和外流被盗数据。“报告指出:”大多数样本都包含硬编码的 AWS 凭据,被盗数据被上传到由威胁行为者控制的亚马逊 S3 存储桶。
这种技术使攻击者能够绕过传统的网络防御系统,利用合法的云服务来窃取数据。随着云基础设施越来越成为企业不可或缺的一部分,它也为攻击者提供了新的利用途径。勒索软件不仅会加密文件,还会将文件上传到云端,使受害者更难恢复。
该勒索软件的与众不同之处在于它的多平台性。它使用 Go 编程语言(Golang)编写,能够同时针对 Windows 和 macOS 环境。Golang 的跨平台能力使威胁行为者能够开发可感染多种系统的勒索软件。趋势科技的分析报告强调了这一点,指出:“Golang 为开发人员提供了一个单一的代码库,可以为多个不同平台编译依赖关系”。
这使得勒索软件的用途极其广泛,而且难以遏制,因为它可以轻易地在不同的操作系统和网络环境中传播。
虽然 AWS 已暂停该勒索软件使用的访问密钥,但趋势科技建议企业保持警惕。除了更新软件外,企业还应审查远程访问策略,确保只有受信任的用户才能访问关键系统。
此外,跟踪与恶意活动相关联的 AWS 帐户 ID 也是一个有价值的入侵指标 (IOC)。通过监控这些帐户标识符,企业可以更好地检测和应对潜在的云威胁。
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容