Un nuevo ransomware escrito en Golang ha sido descubierto utilizando los servicios de almacenamiento en la nube de Amazon (AWS S3) para robar datos, mientras finge ser el infame ransomware LockBit. El malware aprovecha la función “S3 Transfer Acceleration” para exfiltrar archivos a un bucket de AWS controlado por los atacantes, aumentando la presión sobre las víctimas al hacerse pasar por una variante bien conocida de ransomware.
Abuso de AWS y Exfiltración de Datos
Investigadores han encontrado múltiples muestras de este ransomware con credenciales de AWS incrustadas, lo que permitió a los atacantes crear buckets de almacenamiento en la nube y subir archivos robados. El malware actúa de manera silenciosa, sin alterar la operación regular del sistema hasta que los datos ya han sido exfiltrados. Este descubrimiento subraya cómo los servicios en la nube pueden ser aprovechados de manera maliciosa para perpetrar ataques de ransomware.
Una vez que el ransomware ha cifrado los archivos de la víctima, cambia el fondo de pantalla del dispositivo con una imagen que menciona a LockBit, lo que lleva a las víctimas a creer que están bajo el ataque de este notorio grupo. Sin embargo, la investigación confirmó que este ataque no tiene relación con LockBit, y que es una táctica para aprovechar la fama de este ransomware.
Acciones de AWS y Medidas de Seguridad
Al detectar estas actividades sospechosas, el equipo de seguridad de AWS suspendió las claves de acceso y la cuenta relacionada con los atacantes, cumpliendo con sus políticas de uso aceptable. AWS también confirmó que no se trata de una vulnerabilidad en sus servicios, sino de un mal uso de sus recursos por parte de actores maliciosos.
Recomendaciones
Los expertos en seguridad recomendamos a las organizaciones monitorear sus recursos en la nube y emplear soluciones de detección temprana de amenazas. AWS también sugiere a sus clientes reportar cualquier uso indebido de sus servicios mediante sus formularios de abuso y estar atentos a actividades irregulares dentro de sus cuentas.
Este incidente destaca cómo los actores de amenazas están encontrando nuevas formas de explotar servicios en la nube para realizar ataques cada vez más sofisticados.
