Търсене
Close this search box.

От април насам милиони фишинг имейли са изпратени чрез ботнета Phorpiex за провеждане на мащабна кампания за рансъмуер от LockBit Black.

Както предупреди в петък звеното за киберсигурност и интеграция на комуникациите в Ню Джърси (NJCCIC), нападателите използват прикачени файлове ZIP, съдържащи изпълним файл, който разгръща полезния товар LockBit Black, който при стартиране криптира системите на получателите.

Шифровачът LockBit Black, внедрен в тези атаки, вероятно е създаден с помощта на конструктора LockBit 3.0, който изтече от недоволен разработчик в Twitter през септември 2022 г. Смята се обаче, че тази кампания няма никаква връзка с действителната операция за изнудване LockBit.

Тези фишинг имейли с теми „Вашият документ“ и „Ваша снимка???“ се изпращат с псевдоними „Джени Браун“ или „Джени Грийн“ от над 1500 уникални IP адреса в цял свят, включително Казахстан, Узбекистан, Иран, Русия и Китай.

Веригата от атаки започва, когато получателят отвори зловредния прикачен файл със ZIP архив и изпълни намиращата се в него двоична програма.

След това този изпълним файл изтегля от инфраструктурата на ботнет Phorphiex образец на рансъмуер LockBit Black и го изпълнява в системата на жертвата. След стартирането му той ще се опита да открадне чувствителни данни, да прекрати услуги и да криптира файлове.

Компанията за киберсигурност Proofpoint, която разследва тези атаки от 24 април, заяви в понеделник, че заплахите са насочени към компании от различни индустриални сектори в цял свят.

Въпреки че този подход не е нов, огромният брой имейли, изпратени за доставяне на зловредния товар, и рансъмуерът, използван като първи етап на натоварване, го открояват, въпреки че му липсва сложността на други кибератаки.

„Започвайки от 24 април 2024 г. и продължавайки ежедневно в продължение на около седмица, Proofpoint наблюдава кампании с голям обем с милиони съобщения, подпомагани от ботнета Phorpiex и доставящи рансъмуер LockBit Black“, казват изследователите по сигурността на Proofpoint.

„Това е първият път, когато изследователите на Proofpoint наблюдават образци на рансъмуера LockBit Black (известен още като LockBit 3.0), доставян чрез Phorpiex в такива големи обеми.“

Ботнетът Phorpiex (известен и като Trik) е активен повече от десетилетие. От червей, който се разпространяваше чрез сменяеми USB устройства за съхранение и чатове в Skype или Windows Live Messenger, той се превърна в контролиран от IRC троянец, който използваше доставка на спам по електронна поща.

Докато бавно нарастваше до огромни размери, контролирайки над 1 милион заразени устройства след години на активност и развитие, операторите на ботнета се опитаха да продадат изходния код на зловредния софтуер в хакерски форум след спирането на инфраструктурата Phorpiex.

Ботнетът Phorpiex е бил използван и за доставяне на милиони имейли за сексторство (спам с над 30 000 имейла на час), а съвсем наскоро е използвал модул за отвличане на клипборда, за да замени адресите на портфейли за криптовалута, копирани в клипборда на Windows, с контролирани от атакуващите.

В рамките на една година след добавянето на поддръжката за клипинг на криптовалути операторите на Phorpiex отвлякоха 969 трансакции и откраднаха 3,64 Биткойна (172 300 долара), 55,87 Етера (216 000 долара) и токени ERC20 на стойност 55 000 долара.

За защита от фишинг атаки, които прокарват ransomware, NJCCIC препоръчва да се прилагат стратегии за намаляване на риска от ransomware и да се използват решения за защита на крайни точки и решения за филтриране на имейли (като филтри за спам), за да се блокират потенциално злонамерени съобщения.

 

Източник: e-security.bg

Подобни публикации

11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
10 октомври 2024

Нов проект на Google има за цел да се превърне ...

Днес Google обяви старта на Глобалния обмен на сигнали (GSE) –...
10 октомври 2024

Marriott се съгласи да плати 52 млн. долара и д...

Marriott International се съгласи да плати 52 млн. долара и да напр...
Бъдете социални
Още по темата
07/10/2024

Google Pay със случайни име...

Тази седмица потребителите бяха разтревожени от...
07/10/2024

MoneyGram: Няма доказателст...

Платформата за разплащания MoneyGram заявява, че...
05/10/2024

Рансъмуерът удря критичната...

Финансовото въздействие на кибератака, насочена към...
Последно добавени
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
11/10/2024

Киберсигурността - стълбът ...

Октомври е не само първият месец...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!