От април насам милиони фишинг имейли са изпратени чрез ботнета Phorpiex за провеждане на мащабна кампания за рансъмуер от LockBit Black.
Както предупреди в петък звеното за киберсигурност и интеграция на комуникациите в Ню Джърси (NJCCIC), нападателите използват прикачени файлове ZIP, съдържащи изпълним файл, който разгръща полезния товар LockBit Black, който при стартиране криптира системите на получателите.
Шифровачът LockBit Black, внедрен в тези атаки, вероятно е създаден с помощта на конструктора LockBit 3.0, който изтече от недоволен разработчик в Twitter през септември 2022 г. Смята се обаче, че тази кампания няма никаква връзка с действителната операция за изнудване LockBit.
Тези фишинг имейли с теми „Вашият документ“ и „Ваша снимка???“ се изпращат с псевдоними „Джени Браун“ или „Джени Грийн“ от над 1500 уникални IP адреса в цял свят, включително Казахстан, Узбекистан, Иран, Русия и Китай.
Веригата от атаки започва, когато получателят отвори зловредния прикачен файл със ZIP архив и изпълни намиращата се в него двоична програма.
След това този изпълним файл изтегля от инфраструктурата на ботнет Phorphiex образец на рансъмуер LockBit Black и го изпълнява в системата на жертвата. След стартирането му той ще се опита да открадне чувствителни данни, да прекрати услуги и да криптира файлове.
Компанията за киберсигурност Proofpoint, която разследва тези атаки от 24 април, заяви в понеделник, че заплахите са насочени към компании от различни индустриални сектори в цял свят.
Въпреки че този подход не е нов, огромният брой имейли, изпратени за доставяне на зловредния товар, и рансъмуерът, използван като първи етап на натоварване, го открояват, въпреки че му липсва сложността на други кибератаки.
„Започвайки от 24 април 2024 г. и продължавайки ежедневно в продължение на около седмица, Proofpoint наблюдава кампании с голям обем с милиони съобщения, подпомагани от ботнета Phorpiex и доставящи рансъмуер LockBit Black“, казват изследователите по сигурността на Proofpoint.
„Това е първият път, когато изследователите на Proofpoint наблюдават образци на рансъмуера LockBit Black (известен още като LockBit 3.0), доставян чрез Phorpiex в такива големи обеми.“
Ботнетът Phorpiex (известен и като Trik) е активен повече от десетилетие. От червей, който се разпространяваше чрез сменяеми USB устройства за съхранение и чатове в Skype или Windows Live Messenger, той се превърна в контролиран от IRC троянец, който използваше доставка на спам по електронна поща.
Докато бавно нарастваше до огромни размери, контролирайки над 1 милион заразени устройства след години на активност и развитие, операторите на ботнета се опитаха да продадат изходния код на зловредния софтуер в хакерски форум след спирането на инфраструктурата Phorpiex.
Ботнетът Phorpiex е бил използван и за доставяне на милиони имейли за сексторство (спам с над 30 000 имейла на час), а съвсем наскоро е използвал модул за отвличане на клипборда, за да замени адресите на портфейли за криптовалута, копирани в клипборда на Windows, с контролирани от атакуващите.
В рамките на една година след добавянето на поддръжката за клипинг на криптовалути операторите на Phorpiex отвлякоха 969 трансакции и откраднаха 3,64 Биткойна (172 300 долара), 55,87 Етера (216 000 долара) и токени ERC20 на стойност 55 000 долара.
За защита от фишинг атаки, които прокарват ransomware, NJCCIC препоръчва да се прилагат стратегии за намаляване на риска от ransomware и да се използват решения за защита на крайни точки и решения за филтриране на имейли (като филтри за спам), за да се блокират потенциално злонамерени съобщения.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.