Il fallait y penser. Se faire passer pour un célèbre gang de ransomware pour arriver à ses fins, c'est ce qu'ont fait des hackers pour intimider davantage leurs victimes.

AWS est souvent pris pour cible par les hackers © Alexandre Boero pour Clubic
AWS est souvent pris pour cible par les hackers © Alexandre Boero pour Clubic

Quand on dit que les cybercriminels ne manquent décidément pas d'imagination, pour le coup, ils ne se sont pas foulés pour leur dernière tentative de piratage. Et en même temps, pourquoi faire compliqué quand il suffit de se faire passer pour le tristement célèbre LockBit afin d'exercer une pression maximale sur ses victimes ?

Derrière cette façade de renom se cache un malware codé en Golang qui utilise les services cloud d'Amazon de manière détournée.

Le ransomware se déguise en LockBit pour intimider davantage ses victimes

En retard pour Halloween ou en avance pour le carnaval, toujours est-il que ce nouveau ransomware a tout simplement enfilé un costume pour faire peur à ses victimes. Une fois les fichiers chiffrés, il a remplacé le fond d'écran par une image volée directement au vrai groupe LockBit.

Un petit tour de passe-passe pour faire croire à la victime qu'elle est attaquée par la crème de la crème des ransomwares, responsable de nombreuses campagnes ayant fait grand bruit ces dernières années.

L'objectif est aussi clair que la ficelle est grosse, il s'agit de profiter de la réputation sulfureuse de LockBit pour accentuer la pression psychologique et pousser la victime à payer plus facilement la rançon. Les développeurs de ce faux LockBit ont même poussé le vice jusqu'à copier-coller du code provenant d'un projet de simulation de ransomware, sans vraiment le comprendre.

Comme quoi, ce gang est moins sophistiqué qu'il n'y paraît, même s'il est efficace.

Le ransomware détourne les services cloud d'Amazon pour exfiltrer les données

En revanche, ces pieds nickelés innovent et détournent les services cloud d'Amazon. Une petite feinte que les chercheurs de Trend Micro ont découverte. Le malware contient en effet des identifiants AWS codés en dur, qui permettent d'accéder à des buckets S3 contrôlés par les attaquants.

Avant de chiffrer les fichiers sur la machine de la victime, le ransomware commence par les exfiltrer vers ces espaces de stockage cloud. Pour ce faire, il exploite astucieusement la fonction d'accélération de transfert S3 d'Amazon, qui permet des transferts plus rapides sur de longues distances. Cette technique offre plusieurs avantages aux cybercriminels : elle leur permet de récupérer facilement les données volées, tout en profitant de l'infrastructure robuste d'Amazon pour des transferts rapides et fiables.

En limitant la taille des fichiers exfiltrés à 100 Mo, les attaquants optimisent en plus leurs coûts d'utilisation des services AWS. Pour le coup, on peut attribuer le mérite de la connaissance approfondie des technologies cloud modernes à cette bande de hackers copistes.

Quoi qu'il en soit, faux LockBit ou pas, le ransomware est bien actif et doit nous rappeler de rester sur nos gardes. À commencer par ne jamais céder à la pression ni à la peur d'une demande de rançon. Ne pas payer est la règle numéro un.

Source : Trend Micro