www.trendmicro.com
Open in
urlscan Pro
104.77.220.147
Public Scan
URL:
https://www.trendmicro.com/fr_fr/research/24/j/fake-lockbit-real-damage-ransomware-samples-abuse-aws-s3-to-stea.html
Submission: On October 18 via api from IN — Scanned from US
Submission: On October 18 via api from IN — Scanned from US
Form analysis 1 forms found in the DOM
<form class="main-menu-search" aria-label="Search Trend Micro">
<div class="main-menu-search__field-wrapper" id="cludo-search-form">
<table class="gsc-search-box">
<tbody>
<tr>
<td class="gsc-input">
<input type="text" class="gsc-input-field" name="search" title="search" placeholder="Search" autocomplete="off" aria-label="search">
</td>
</tr>
</tbody>
</table>
</div>
</form>Text Content
Trend détecte la vulnérabilité du Toolkit AI de NVIDIA | En savoir plus >
Entreprise
search close
* Solutions
* Par défi
* Par défi
* Par défi
En savoir plus
* Comprendre, hiérarchiser et limiter les risques
* Comprendre, hiérarchiser et limiter les risques
Améliorez votre niveau de risque avec la gestion de la surface
d'attaque
En savoir plus
* Protéger les applications natives du cloud
* Protéger les applications natives du cloud
Une sécurité qui favorise les résultats commerciaux
En savoir plus
* Protégez votre monde hybride
* Protéger votre monde hybride et multi-cloud
Gagnez en visibilité et répondez aux besoins commerciaux en toute
sécurité
En savoir plus
* Sécuriser votre personnel sans frontières
* Sécuriser votre personnel sans frontières
Connectez-vous en toute confiance depuis n’importe où, sur n’importe
quel appareil
En savoir plus
* Éliminer les zones d’ombre sur le réseau
* Éliminer les zones d’ombre sur le réseau
Sécurisez les utilisateurs et les opérations clés dans l’ensemble de
votre environnement
En savoir plus
* Améliorez votre visibilité. Réagissez plus rapidement.
* Améliorez votre visibilité. Réagissez plus rapidement.
Devancez vos adversaires grâce à une puissante solution XDR conçue sur
mesure, une gestion des risques liés à la surface d'attaque et des
fonctionnalités Zero Trust
En savoir plus
* Complétez votre équipe
* Complétez votre équipe Répondez aux menaces de manière agile
Maximisez l’efficacité avec la réduction proactive des risques et les
services gérés
En savoir plus
* Opérationnaliser le Zero Trust
* Opérationnaliser le Zero Trust
Comprenez votre surface d’attaque, évaluez vos risques en temps réel et
ajustez les politiques dans le réseau, les charges de travail et les
appareils, à partir d'une seule et même console
En savoir plus
* Par rôle
* Par rôle
* Par rôle
En savoir plus
* DSSI
* DSSI
Générez de la valeur commerciale avec des résultats de cybersécurité
mesurables
En savoir plus
* Responsable SOC
* Responsable SOC
Améliorez votre visibilité, agissez plus rapidement
En savoir plus
* Responsable d'infrastructure
* Responsable d'infrastructure
Faites évoluer votre sécurité pour atténuer les menaces de manière
rapide et efficace
En savoir plus
* Bâtisseur de cloud et développeur
* Bâtisseur de cloud et développeur
Assurez-vous que le code fonctionne uniquement comme prévu
En savoir plus
* Opérations de sécurité dans le cloud
* Opérations de sécurité dans le cloud
Gagnez en visibilité et en contrôle avec une sécurité conçue pour les
environnements cloud
En savoir plus
* Par secteur
* Par secteur
* Par secteur
En savoir plus
* Santé
* Santé
Protégez les données des patients, les équipements et les réseaux, tout
en respectant les réglementations
En savoir plus
* Fabrication
* Fabrication
Protection de vos environnements d'usine, des dispositifs traditionnels
aux infrastructures innovantes
En savoir plus
* Pétrole et gaz
* Pétrole et gaz
Sécurité ICS/OT pour le secteur du pétrole et du gaz
En savoir plus
* Électricité
* Électricité
Sécurité ICS/OT pour les acteurs de l'électricité
En savoir plus
* Automobile
* Automobile
En savoir plus
* 5G Networks
* 5G Networks
En savoir plus
* Sécurité des petites et moyennes entreprises
* Sécurité des petites et moyennes entreprises
Arrêtez les menaces avec une protection complète à configurer une seule
fois
En savoir plus
* Plateforme
* Plateforme Vision One
* Plateforme Vision One
* Trend Vision One
Notre plateforme unifiée
Faites le lien entre protection contre les menaces et gestion des
cyber-risques
En savoir plus
* Companion IA
* Trend Vision One Companion
Votre assistant de cybersécurité fondé sur l’IA générative
En savoir plus
* Endpoint Security
* Endpoint Security
* Présentation d’Endpoint Security
Protéger les endpoints à chaque étape d’une attaque
En savoir plus
* Industrial Endpoint Security
* Industrial Endpoint Security
En savoir plus
* Workload Security
* Workload Security
Prévention, détection et réponse optimisées pour les endpoints, les
serveurs et les charges de travail cloud
En savoir plus
* Mobile Security
* Mobile Security
Protection sur site et dans le cloud contre les malwares, les
applications malveillantes et les autres menaces mobiles
En savoir plus
* XDR for Endpoint
* XDR for Endpoint
Barrez plus rapidement la route aux adversaires grâce à une perspective
plus étendue et à un meilleur contexte pour identifier, détecter, mener
une investigation et répondre aux menaces depuis une seule plateforme
En savoir plus
* Cloud Security
* Cloud Security
* Trend Vision One™
Présentation de Cloud Security
La plateforme de sécurité du cloud la plus fiable pour les
développeurs, les équipes de sécurité et les entreprises
En savoir plus
* Workload Security
* Workload Security
Sécurisez votre data center, votre cloud et vos conteneurs sans
compromis sur les performances en exploitant une plateforme de sécurité
cloud dotée de fonctionnalités CNAPP
En savoir plus
* Container Security
* Container Security
Simplifiez la sécurité pour vos applications natives du cloud avec une
analyse avancée des images de conteneur, un contrôle d'entrée basé sur
politique et une protection pour l'exécution de conteneur.
En savoir plus
* File Security
* File Security
Protégez le flux de travail des applications et le stockage cloud
contre les menaces avancées
En savoir plus
* Gestion des risques liés à la surface d'attaque pour le cloud
* Gestion des risques liés à la surface d'attaque pour le cloud
Détection des actifs cloud, hiérarchisation des vulnérabilités, gestion
de la posture de sécurité cloud et gestion de la surface d'attaque
tout-en-un
En savoir plus
* XDR pour le cloud
* XDR pour le cloud
Étendre la visibilité au cloud et simplifier les investigations dans le
SOC
En savoir plus
* Network Security
* Network Security
* Présentation de Network Security
Dopez la puissance de XDR avec une fonction de détection et de réponse
aux menaces sur le réseau
En savoir plus
* Network Intrusion Prevention (IPS)
* Network Intrusion Prevention (IPS)
Protégez-vous contre les vulnérabilités connues, inconnues et non
divulguées ciblant votre réseau.
En savoir plus
* Breach Detection System (BDS)
* Breach Detection System (BDS)
Détectez et neutralisez les attaques ciblées entrantes, sortantes et
internes
En savoir plus
* Secure Service Edge (SSE)
* Secure Service Edge (SSE)
Repensez le concept de confiance et sécurisez votre transformation
digitale à l’aide d’une évaluation permanente des risques
En savoir plus
* Industrial Network Security
* Industrial Network Security
En savoir plus
* XDR for Network
* XDR for Network
Barrez plus rapidement la route aux adversaires grâce à une perspective
plus étendue et à un meilleur contexte pour identifier, détecter, mener
une investigation et répondre aux menaces depuis une seule plateforme
En savoir plus
* 5G Network Security
* 5G Network Security
En savoir plus
* Tous les produits, services et évaluations
* Tous les produits, services et évaluations
En savoir plus
* Gestion de la surface d'attaque
* Gestion de la surface d'attaque
Arrêtez les violations avant qu’elles ne se produisent
En savoir plus
* Email Security
* Email Security
* Email Security
Empêcher le phishing (hameçonnage), les malwares, les ransomware, les
fraudes et les attaques ciblées d'infiltrer votre entreprise
En savoir plus
* Email and Collaboration Security
* Trend Vision One™
Email and Collaboration Security
Arrêtez le phishing, les ransomware et les attaques ciblées sur tous
les services de messagerie, notamment Microsoft 365 et Google Workspace
En savoir plus
* XDR (Extended Detection & Response)
* XDR (Extended Detection & Response)
Barrez plus rapidement la route aux adversaires grâce à une perspective
plus étendue et à un meilleur contexte pour identifier, détecter, mener
une investigation et répondre aux menaces depuis une seule plateforme
En savoir plus
* Threat Insights
* Threat Insights
Repérez les menaces de loin
En savoir plus
* OT Security
* OT Security
* OT Security
Découvrez les solutions pour la sécurité ICS/OT.
En savoir plus
* Industrial Endpoint Security
* Industrial Endpoint Security
En savoir plus
* Industrial Network Security
* Industrial Network Security
Industrial Network Security
* XDR for OT
* XDR for OT
Barrez plus rapidement la route aux adversaires grâce à une perspective
plus étendue et à un meilleur contexte pour identifier, détecter, mener
une investigation et répondre aux menaces depuis une seule plateforme
En savoir plus
* Identity Security
* Identity Security
Une sécurité des identités de bout en bout, de la gestion de la posture
d’identité à la détection et à la réponse
En savoir plus
* On-Premises Data Sovereignty
* Souveraineté des données sur site
Prévenez, détectez, répondez et protégez sans compromettre la
souveraineté des données
En savoir plus
* Recherche
* Recherche
* Recherche
* Recherche
En savoir plus
* Recherche, nouvelles et perspectives
* Recherche, nouvelles et perspectives
En savoir plus
* Recherche et analyse
* Recherche et analyse
En savoir plus
* Nouvelles relatives à la sécurité
* Nouvelles relatives à la sécurité
En savoir plus
* Programme Zero Day Initiative (ZDI)
* Programme Zero Day Initiative (ZDI)
En savoir plus
* Services
* Nos services
* Nos services
* Nos services
En savoir plus
* Packages de services
* Packages de services
Aidez les équipes de sécurité grâce à une détection, une réponse et un
support managés 24 h/24, 7 j/7 et 365 j/365
En savoir plus
* Managed XDR
* Managed XDR
Affinez la détection des menaces avec un service managé de détection et
de réponse (Managed Detection and Response, MDR) pour les emails, les
endpoints, les serveurs, les instances cloud et les réseaux
En savoir plus
* Services de support
* Services de support
En savoir plus
* Réponse aux incidents
* Réponse aux incidents
* Réponse aux incidents
Nos experts de confiance sont disponibles, que vous subissiez une
violation ou cherchiez à améliorer proactivement vos plans IR.
En savoir plus
* Compagnies d'assurance et cabinets d'avocats
* Compagnies d'assurance et cabinets d'avocats
Stoppez les violations grâce à la meilleure technologie de réponse et
de détection sur le marché, réduisez les temps d'arrêt pour les
clients et récupérez des coûts
En savoir plus
* Partenaires
* Programme de partenariat
* Programme de partenariat
* Vue d’ensemble du programme de partenariat
Développez votre activité et protégez vos clients grâce à une sécurité
intégrale et en profondeur
En savoir plus
* Fournisseur de services managés
* Fournisseur de services managés
Devenez partenaire d’un expert leader en cybersécurité et exploitez des
solutions éprouvées conçues pour les MSP
En savoir plus
* Fournisseur de services cloud
* Fournisseur de services cloud
Enrichissez vos offres de services cloud d’une sécurité de premier rang
dédiée au cloud, quelle que soit la plateforme que vous utilisez
En savoir plus
* Services professionnels
* Services professionnels
Dopez vos revenus grâce à une sécurité de premier rang
En savoir plus
* Revendeurs
* Revendeurs
Découvrez les possibilités
En savoir plus
* Place de marché
* Place de marché
En savoir plus
* Intégrateurs systèmes
* Intégrateurs systèmes
En savoir plus
* Fournisseur de services de sécurité gérés
* Fournisseur de services de sécurité gérés
Fournissez des services d’opérations de sécurité modernes avec notre
XDR leader du secteur
En savoir plus
* Partenaires d'alliance
* Partenaires d'alliance
* Présentation du partenariat technologique
Nous travaillons avec les meilleurs pour vous aider à optimiser vos
performances et votre valeur
En savoir plus
* Partenaires technologiques
* Partenaires technologiques
En savoir plus
* Nos partenaires d'alliance
* Nos partenaires d'alliance
En savoir plus
* Outils pour les partenaires
* Outils pour les partenaires
* Outils pour les partenaires
En savoir plus
* Connexion partenaire
* Connexion partenaire
Connexion
* Formations et certifications
* Formations et certifications
En savoir plus
* Réussite des partenaires
* Réussite des partenaires
En savoir plus
* Distributeurs
* Distributeurs
En savoir plus
* Trouver un partenaire
* Trouver un partenaire
En savoir plus
* Entreprise
* Pourquoi choisir Trend Micro
* Pourquoi choisir Trend Micro
* Pourquoi choisir Trend Micro
En savoir plus
* Témoignages de clients
* Témoignages de clients
En savoir plus
* Récompenses de l'industrie
* Récompenses de l'industrie
En savoir plus
* Alliances stratégiques
* Alliances stratégiques
En savoir plus
* Comparez Trend Micro
* Comparez Trend Micro
* Comparez Trend Micro
Découvrez comment Trend dépasse la concurrence
Allons-y
* par rapport à CrowdStrike
* Trend Micro par rapport à CrowdStrike
Crowdstrike fournit une cybersécurité efficace via sa plateforme native
du cloud, mais ses tarifs peuvent mettre les budgets à rude épreuve, en
particulier pour les organisations qui recherchent une évolutivité
économique sur une seule plateforme.
Allons-y
* par rapport à Microsoft
* Trend Micro par rapport à Microsoft
Microsoft offre une couche de protection de base, mais nécessite
souvent l’ajout d'autres solutions pour traiter entièrement les
problèmes de sécurité des clients
Allons-y
* par rapport à Palo Alto Networks
* Trend Micro par rapport à Palo Alto Networks
Palo Alto Networks fournit des solutions de cybersécurité avancées,
mais il peut être difficile de parcourir sa suite complète et
l’exploitation de toutes ses fonctionnalités requiert un investissement
important.
Allons-y
* À propos
* À propos
* À propos
En savoir plus
* Trust Center
* Trust Center
En savoir plus
* Historique
* Historique
En savoir plus
* Diversité équité et inclusion
* Diversité équité et inclusion
En savoir plus
* Responsabilité sociale d’entreprise
* Responsabilité sociale d’entreprise
En savoir plus
* Leadership
* Leadership
En savoir plus
* Experts en sécurité
* Experts en sécurité
En savoir plus
* Sensibilisation à la sécurité sur Internet et à la cybersécurité
* Sensibilisation à la sécurité sur Internet et à la cybersécurité
En savoir plus
* Mentions légales
* Mentions légales
En savoir plus
* Course de Formule E
* Course de Formule E
En savoir plus
* Communiquez avec nous
* Communiquez avec nous
* Communiquez avec nous
En savoir plus
* Salle de presse
* Salle de presse
En savoir plus
* Événements
* Événements
En savoir plus
* Carrières
* Carrières
En savoir plus
* Webinaires
* Webinaires
En savoir plus
Back
Back
Back
Back
* Évaluation gratuite
* Nous contacter
Vous recherchez des solutions domestiques ?
Vous subissez une attaque ?
3 Alertes
Back
Non lu
Tous
* Un choix illusoire ? Les élections sous le feu des techniques de leurre par
IA
close
Consultez le rapport >
* Façonner le futur de la gestion de la surface d'attaque
close
En savoir plus >
* Trend détecte la vulnérabilité du Toolkit AI de NVIDIA
close
En savoir plus >
Folio (0)
Support
* Portail de support professionnel
* Communauté professionnelle
* Aide pour les virus et menaces
* Formations et certifications
* Contacter le support
* Trouver un partenaire de support
Ressources
* AI Security
* Trend Micro par rapport à la concurrence
* Évaluation/indice d’exposition aux cyber-risques
* Qu’est-ce que c’est ?
* Encyclopédie des menaces
* Cyber-assurance
* Glossaire de termes
* Webinaires
Connexion
* Vision One
* Support
* Portail partenaires
* Cloud One
* Activation et gestion de produit
* Associé parrainé
Back
arrow_back
search
close
Content has been added to your Folio
Go to Folio (0) close
Ransomware
FAKE LOCKBIT, REAL DAMAGE: RANSOMWARE SAMPLES ABUSE AWS S3 TO STEAL DATA
This article uncovers a Golang ransomware abusing AWS S3 for data theft, and
masking as LockBit to further pressure victims. The discovery of hard-coded AWS
credentials in these samples led to AWS account suspensions.
By: Jaromir Horejsi, Nitesh Surana October 16, 2024 Read time: 8 min (2112
words)
Save to Folio
Subscribe
--------------------------------------------------------------------------------
KEY TAKEAWAYS
* We found Golang ransomware samples that abuse Amazon S3 (Simple Storage
Service) Transfer Acceleration feature to exfiltrate the victim’s files and
upload them to the attacker-controlled S3 buckets.
* Amazon Web Services (AWS) credentials hard coded in the samples were used to
track the associated AWS Account IDs linked to malicious activities, serving
as valuable Indicators of Compromise (IOCs).
* Attempts were made to disguise the Golang ransomware as the notorious LockBit
ransomware. This was done presumably to use the ransomware family’s notoriety
to further pressure victims.
* We shared our findings with the AWS Security team. It is important to note
that our finding is not a vulnerability in any of AWS Services. We confirmed
with AWS the behavior we identified for this threat actor's activity and it
was found to violate the AWS acceptable use policy
(https://aws.amazon.com/aup/). The reported AWS access keys and account have
been suspended.
INTRODUCTION
From infostealer development to data exfiltration, cloud service providers are
increasingly being abused by threat actors for malicious schemes. While in this
case the ransomware samples we examined contained hard coded AWS credentials,
this is specific to this single threat actor and in general, ransomware
developers leverage other online services as part of their tactics. In line with
this, we examined ransomware samples written in Go language (aka Golang),
targeting Windows and MacOS environments. Most of the samples contained
hard-coded AWS credentials, and the stolen data were uploaded to an Amazon S3
bucket controlled by the threat actor.
By the tail end of the attack, the device’s wallpaper is changed into an image
mentioning LockBit. This might lead affected users to think that LockBit is to
be blamed for the incident, especially since this ransomware family had been
active in recent years and even had the highest file detections during the first
half of this year. However, such is not the case, and the attacker only seems to
be capitalizing on LockBit’s notoriety to further tighten the noose on their
victims.
We suspect the ransomware author to be either using their own AWS account or a
compromised AWS account. We came across more than thirty samples possibly from
the same author, signaling that this ransomware is being actively developed and
tested prior to AWS taking action to suspend the Access Keys and the AWS
Account. Furthermore, using the hard-coded credential consisting of the AWS
Access Key ID, one can find the associated AWS Account ID. This finding offers
an alternative perspective of considering malicious or compromised AWS Account
IDs as possible IOCs in case of cross-account activities.
This blog describes the samples, their capabilities, and how they abuse Amazon
S3 features in their attack.
TECHNICAL ANALYSIS
Golang provides developers with a single code base that can compile with
dependencies for multiple different platforms. This creates a binary for each
platform, making the project multiplatform and dependency-free. Threat actors
capitalize on these benefits by creating malicious files with Golang such as the
Agenda ransomware as well as the newly-discovered KTLVdoor backdoor used by
Earth Lusca.
For the ransomware samples we analyzed, most of the samples have AWS Access Key
IDs and the Secret Access Keys hard-coded. While examining the inner workings of
the sample, we found that it abuses a feature of AWS S3 known as S3 Transfer
Acceleration (S3TA).
Our analysis is based mainly on the following samples:
1. 14fe0071e76b23673569115042a961136ef057848ad44cf35d9f2ca86bd90d31
2. 0c54e79e8317e73714f6e88df01bda2c569ec84893a7a33bb6e8e4cf96980430
Figure 1. The sample’s attack flow
download
When executed on the infected machine, the ransomware first performs
initialization through the following steps:
1. Get the host machine universal unique identifier (UUID)
2. Import the hard-coded public key
The public key is encoded in Privacy Enhanced Mail (PEM) format.
Figure 2. Hard-coded public key in PEM format
Decoding the values of the public key reveals RSA encryption and the modulus
size of 2048 bits.
3. A random master key is generated and encrypted using the previously imported
RSA public key. (This means that only the threat actor who owns the private
key can use it to decrypt the master key.)
4. Write the encrypted master key to the readme text file (README.txt).
5. Use AWS SDK for Go v2 library’s StaticCredentialsProvider to load static
credentials. Static credentials include hard-coded AccessKeyID,
SecretAccessKey, and AWS_REGION.
Figure 3. Hard-coded AWS credentials
After the initialization, the ransomware starts enumerating all files available
in / (root directory for the macOS variant) by calling the filepath.Walk
function. Each enumerated file is checked to confirm if it is in the exclusion
folder. If yes, such files will not be encrypted.
Figure 4. Exclusion folders, macOS variant
The ransomware contains a list of file extensions (usually for documents,
photos, and data files) that will be encrypted.
Figure 5. Targeted file extensions
The README.txt file name is excluded from encryption.
EXFILTRATION
Based on the acquired host machine UUID, the sample creates an Amazon S3 bucket
on the attacker-controlled AWS account using the hard-coded pair of credentials.
Figure 6. Creation of Amazon S3 bucket based on host machine UUID
Once the bucket has been created, the S3TA feature is enabled by modifying the
configuration.
The last step is encryption of the file from the beginning to the end. The
encryption algorithm is AES-CTR, with password being md5 hash file name
concatenated with master key.
As an example, ransomware generates random 16-byte master key 20 60 A3 EA 54 84
C9 27 57 76 1E CC 1F FC 12. Name of the encrypted file is text.txt.
So the concatenated byte sequence is 74 65 78 74 2E 74 78 74 63 20 60 A3 EA 54
84 C9 27 57 76 1E CC 1F FC 12 and its MD5 hash is 23 a3 ec c5 58 2d 97 41 07 3c
3b dc 31 7d 49 30.
Figure 7. S3TA is enabled
Files are then uploaded from the victim’s machine to the attacker-controlled AWS
account.
S3TA enables users to achieve faster data transfer over long distances. It
leverages the globally distributed edge locations in Amazon CloudFront. To use
this feature, it must be enabled on the bucket. The bucket name should be Domain
Name System (DNS) compliant and must not have periods. An S3 bucket with S3TA
enabled can be accessed by the following endpoints, depending on the type of AWS
environment:
1. bucketname[.]s3-accelerate.amazonaws.com
2. bucketname[.]s3-accelerate.dualstack.amazonaws.com
Each file, which passed the previous file extension checks and is smaller than
100 mebibytes (MiB), is uploaded to AWS by calling the Uploader.Upload function.
This is due to saving AWS space and funds, as uploading big files will cost
attackers more money.
Figure 8. Uploading only files smaller than 100MiB
The last step is encryption of the file from beginning to end. The encryption
algorithm is AES-CTR, with the password being the MD5 hash of the file name
concatenated with the master key.
The ransomware generates a random 16-byte master key (for example 63 20 60 A3 EA
54 84 C9 27 57 76 1E CC 1F FC 12). The name of the encrypted file is text.txt.
Figure 9. Ransomware generates a master key
Correspondingly, the concatenated byte sequence is 74 65 78 74 2E 74 78 74 63 20
60 A3 EA 54 84 C9 27 57 76 1E CC 1F FC 12 and its MD5 hash is 23 a3 ec c5 58 2d
97 41 07 3c 3b dc 31 7d 49 30. This is shown in the screenshot below (generated
via CyberChef, used here for visualization purposes only).
Figure 10. Process of generating an AES key
This resulting hash is used as AES key parameter of crypto.AES.NewCipher
function. The initialization vector is a randomly generated 16-bytes and is
passed into crypto.cipher.NewCTR function.
After the encryption, the file is renamed according to the following format:
<original file name>.<initialization vector>.abcd. For instance, the file
text.txt was renamed to text.txt.e5c331611dd7462f42a5e9776d2281d3.abcd.
Figure 11. Appending an .abcd extension to the encrypted files
We ran the ransomware sample in the debugger and dump master key. Then we
verified that we can correctly decrypt the previously encrypted file by choosing
the proper cipher and passing the correct parameters, as shown in the screenshot
below (generated via CyberChef, used here for visualization purposes only).
Figure 12. Verification of decryption when cipher and its parameters are known
The README.txt file contains base64 encoded content. Decoding it reveals the
master key encrypted by crypto.rsa.EncryptPKCS1v15 with a hard-coded public key
as its parameter, then encoded by base64. This base64 encoded blob is followed
by hostname, OS version, and infected machine identifier. To decrypt the master
key, we would need the ransomware developer’s private key, which we do not have.
Figure 13. Content of the README.txt file
Figure 14. Decoded README.txt file
After all files are processed, the ransomware changes the device’s wallpaper. We
observed two different wallpapers in use, and both have been stolen or copied
either from LockBit attacks or from a security blog mentioning the ransomware
family. It should be noted however that 2.0 is not the latest LockBit version.
Furthermore, key figures behind the ransomware operations have just been
apprehended earlier this year.
Figure 15. Wallpaper changed into a photo stolen or copied from LockBit
ransomware
Figure 16. Wallpaper changed into a photo stolen from a security blog
On macOS, the ransomware uses osascript to change the wallpaper. The osascript
command is as follows:
“tell application "System Events" to tell every desktop to set picture to "%s”.
On Windows, the ransomware calls SystemParametersInfoW with uiAction parameter
set to SPI_SETDESKWALLPAPER to change the wallpaper.
In some Windows samples, we can also find code for deleting backups (shadow
copy). Interestingly, the ransomware developer likely, without understanding,
copied shadowcopy.go from a ransomware-simulator project and left the parameter
/for unchanged.
Figure xx: Code for deleting backups
CONCLUSION
Attackers are increasingly leveraging cloud services and features to further
their malicious activities. In this blog, we analyzed a Golang ransomware that
abuses Amazon S3's Transfer Acceleration feature to upload victim files to
attacker-controlled S3 buckets. Such advanced capabilities enable attackers to
efficiently exfiltrate data as they take advantage of cloud service providers.
Furthermore, account identifiers of cloud providers such as AWS Account IDs
linked to malicious activities can serve as valuable IOCs. By tracking these
IDs, defenders can better identify and mitigate threats within their cloud
environments, underscoring the need for vigilant monitoring of cloud resources.
Threat actors might also disguise their ransomware sample as another more
publicly known variant, and it is not difficult to see why: the infamy of
high-profile ransomware attacks further pressures victims into doing the
attacker’s bidding.
To further boost security, organizations can also employ security solutions such
as Vision One to detect and stop threats early and no matter where they are in
the system.
AWS SECURITY FEEDBACK
We contacted AWS about this incident and received the following comment:
AWS can confirm that AWS services are operating as intended. The activity
identified violates the AWS acceptable use policy and the reported AWS access
keys and account have been suspended.
Ransomware is not specific to any computing environment in particular. However,
AWS provides customers with increased visibility into and control over their
security posture with respect to malware.
We recommend customers who suspect or become aware of AWS resources being used
for suspicious activity to complete the abuse form or
contact trustandsafety@support.aws.com.
We thank Trend Micro for engaging AWS Security.
TREND MICRO VISION ONE THREAT INTELLIGENCE
To stay ahead of evolving threats, Trend Micro customers can access a range of
Intelligence Reports and Threat Insights within Trend Micro Vision One. Threat
Insights helps customers stay ahead of cyber threats before they happen and
better prepared for emerging threats. It offers comprehensive information on
threat actors, their malicious activities, and the techniques they use. By
leveraging this intelligence, customers can take proactive steps to protect
their environments, mitigate risks, and respond effectively to threats.
Trend Micro Vision One Intelligence Reports App [IOC Sweeping]
* Fake LockBit, Real Damage: Ransomware Samples Abuse AWS S3 to Steal Data
Trend Micro Vision One Threat Insights App
* Emerging Threats: Fake Lockbit Ransomware Abuses AWS S3 For Data Exfiltration
Hunting Queries
Trend Micro Vision One Search App
Trend Micro Vision Once Customers can use the Search App to match or hunt the
malicious indicators mentioned in this blog post with data in their
environment.
Detection for BOCKLIT Malware Presence
malName:*BOCKLIT* AND eventName: MALWARE_DETECTION
More hunting queries are available for Vision One customers with Threat Insights
Entitlement enabled.
INDICATORS OF COMPROMISE
During our monitoring, we have seen different versions of this ransomware. All
had encryption features, but only some had upload functionality and valid
tokens. This, along with other differences among variants, suggests that the
ransomware is still in development.
The full list of IOCs can be found here.
Tags
Cloud | Ransomware | Recherche | Articles, nouveautés, rapports
AUTHORS
* Jaromir Horejsi
Senior Cyber Threat Researcher
* Nitesh Surana
Senior Threat Researcher
Contact Us
Subscribe
RELATED ARTICLES
* How to Mitigate the Impact of Rogue AI Risks
* Silent Threat: Red Team Tool EDRSilencer Disrupting Endpoint Security
Solutions
* MDR in Action: Preventing The More_eggs Backdoor From Hatching
See all articles
Testez gratuitement notre plateforme unifiée
* Demandez votre évaluation de 30 jours
*
*
*
*
*
RESSOURCES
* Blog
* Salle de presse
* Rapports sur les menaces
* Trouver un partenaire
*
*
SUPPORT
* Portail de support professionnel
* Nous contacter
* Téléchargements
* Évaluation gratuite
*
*
À PROPOS DE TREND
* À propos
* Carrières
* Présence
* Événements à venir
* Trust Center
*
Siège social national
Trend Micro - France (FR)
85, rue Albert Premier
92500 Rueil Malmaison
France
Téléphone: +33 (0)1 76 68 65 00
Sélectionnez un pays/une région
France expand_more
close
AMÉRIQUE
* États-Unis
* Brésil
* Canada
* Mexique
MOYEN-ORIENT ET AFRIQUE
* Afrique du Sud
* Moyen-Orient et Afrique du Nord
EUROPE
* België (Belgique)
* Česká Republika
* Danmark
* Deutschland, Österreich, Schweiz
* España
* France
* Ireland
* Italia
* Nederland
* Norge (Norvège)
* Polska (Pologne)
* Suomi (Finlande)
* Sverige (Suède)
* Türkiye (Turquie)
* Royaume-Uni
ASIE-PACIFIQUE
* Australie
* Центральная Азия (Asie centrale)
* Hong Kong (anglais)
* 香港 (中文) (Hong Kong)
* भारत गणराज्य (Inde)
* Indonesia
* 日本 (Japon)
* 대한민국 (Corée du Sud)
* Malaisie
* Монголия (Mongolie) et рузия (Géorgie)
* Nouvelle-Zélande
* Philippines
* Singapore
* 台灣 (Taïwan)
* ประเทศไทย (Thaïlande)
* Việt Nam
Confidentialité | Dispositions légales | Plan du site
Copyright © 2024 Trend Micro Incorporated. Tous droits réservés
Copyright © 2024 Trend Micro Incorporated. Tous droits réservés
sXpIBdPeKzI9PC2p0SWMpUSM2NSxWzPyXTMLlbXmYa0R20xk
This website uses cookies for website functionality, traffic analytics,
personalization, social media functionality and advertising. Our Cookie Notice
provides more information and explains how to amend your cookie settings.Learn
more
Cookies Settings Accept
✓
Thanks for sharing!
AddToAny
More…
BDOW!
word word word word word word word word word word word word word word word word
word word word word word word word word word word word word word word word word
word word word word word word word word word word word word word word word word
word word word word word word word word word word word word word word word word
word word word word word word word word word word word word word word word word
word word word word word word word word word word word word word word word word
word word word word word word word word word word word word word word word word
word word word word word word word word word word word word word word word word
word word word word word word word word word word word word word word word word
word word word word word word word word word word word word word word word word
word word word word word word word word word word word word word word word word
word word word word word word word word word word word word word word word word
word word word word word word word word
mmMwWLliI0fiflO&1
mmMwWLliI0fiflO&1
mmMwWLliI0fiflO&1
mmMwWLliI0fiflO&1
mmMwWLliI0fiflO&1
mmMwWLliI0fiflO&1
mmMwWLliI0fiflO&1