Группа Bling Libra, известная как создатель программы-вымогателя ShinyHunters, изменила свои методы работы, переключившись с продажи похищенных данных на вымогательство. Об этом стало известно после инцидента, в котором специалисты Palo Alto Networks выявилиновую тактику злоумышленников.
В рассмотренной кампании, используя легитимные учётные данные, найденные в публичных репозиториях, Bling Libra получила доступ к облачным ресурсам одной из компаний на платформе Amazon Web Services (AWS). Хотя права, связанные с этими учётными записями, были ограничены, группе удалось проникнуть в систему и провести разведывательные операции. Для доступа к данным злоумышленники использовали такие инструменты, как S3 Browser и WinSCP.
Особенность этих инструментов для исследователей безопасности заключается в том, что они генерируют определённые события в логах AWS, что позволяет отличить действия, совершенные злоумышленниками, от автоматических операций. Это открытие помогает ИБ-специалистам более точно отслеживать активность в облачных средах.
Впервые Bling Libra появилась в 2020 году и с тех пор совершила ряд крупных атак, включая утечки данных Microsoft GitHub и Tokopedia. Группа традиционно использовала легитимные учётные данные для получения доступа к базам данных с персональной информацией, которую затем продавала на подпольных рынках. Однако в 2024 году они изменили тактику, начав шантажировать своих жертв, требуя выкуп за сохранность данных.
После проникновения в систему, злоумышленники проводят тщательную разведку, определяя доступные им ресурсы, а спустя время возвращаются для совершения атаки. В ходе рассмотренной Palo Alto Networks кампании хакеры удалили часть данных и создали новые S3-бакеты, вероятно, с целью насмешки над организацией. Завершив атаку, Bling Libra отправила жертве письмо с требованием выкупа.
Этот случай является очередным напоминанием о важности регулярных проверок настроек безопасности и ограничения прав доступа в облачных системах. Palo Alto Networks рекомендует использовать надёжные инструменты анализа и мониторинга, чтобы минимизировать риски и предотвратить подобные атаки.