Търсене
Close this search box.

Ботнет е изпратил милиони имейли в кампанията за рансъмуер LockBit Black

От април насам милиони фишинг имейли са изпратени чрез ботнета Phorpiex за провеждане на мащабна кампания за рансъмуер от LockBit Black.

Както предупреди в петък звеното за киберсигурност и интеграция на комуникациите в Ню Джърси (NJCCIC), нападателите използват прикачени файлове ZIP, съдържащи изпълним файл, който разгръща полезния товар LockBit Black, който при стартиране криптира системите на получателите.

Шифровачът LockBit Black, внедрен в тези атаки, вероятно е създаден с помощта на конструктора LockBit 3.0, който изтече от недоволен разработчик в Twitter през септември 2022 г. Смята се обаче, че тази кампания няма никаква връзка с действителната операция за изнудване LockBit.

Тези фишинг имейли с теми „Вашият документ“ и „Ваша снимка???“ се изпращат с псевдоними „Джени Браун“ или „Джени Грийн“ от над 1500 уникални IP адреса в цял свят, включително Казахстан, Узбекистан, Иран, Русия и Китай.

Веригата от атаки започва, когато получателят отвори зловредния прикачен файл със ZIP архив и изпълни намиращата се в него двоична програма.

След това този изпълним файл изтегля от инфраструктурата на ботнет Phorphiex образец на рансъмуер LockBit Black и го изпълнява в системата на жертвата. След стартирането му той ще се опита да открадне чувствителни данни, да прекрати услуги и да криптира файлове.

Компанията за киберсигурност Proofpoint, която разследва тези атаки от 24 април, заяви в понеделник, че заплахите са насочени към компании от различни индустриални сектори в цял свят.

Въпреки че този подход не е нов, огромният брой имейли, изпратени за доставяне на зловредния товар, и рансъмуерът, използван като първи етап на натоварване, го открояват, въпреки че му липсва сложността на други кибератаки.

„Започвайки от 24 април 2024 г. и продължавайки ежедневно в продължение на около седмица, Proofpoint наблюдава кампании с голям обем с милиони съобщения, подпомагани от ботнета Phorpiex и доставящи рансъмуер LockBit Black“, казват изследователите по сигурността на Proofpoint.

„Това е първият път, когато изследователите на Proofpoint наблюдават образци на рансъмуера LockBit Black (известен още като LockBit 3.0), доставян чрез Phorpiex в такива големи обеми.“

Ботнетът Phorpiex (известен и като Trik) е активен повече от десетилетие. От червей, който се разпространяваше чрез сменяеми USB устройства за съхранение и чатове в Skype или Windows Live Messenger, той се превърна в контролиран от IRC троянец, който използваше доставка на спам по електронна поща.

Докато бавно нарастваше до огромни размери, контролирайки над 1 милион заразени устройства след години на активност и развитие, операторите на ботнета се опитаха да продадат изходния код на зловредния софтуер в хакерски форум след спирането на инфраструктурата Phorpiex.

Ботнетът Phorpiex е бил използван и за доставяне на милиони имейли за сексторство (спам с над 30 000 имейла на час), а съвсем наскоро е използвал модул за отвличане на клипборда, за да замени адресите на портфейли за криптовалута, копирани в клипборда на Windows, с контролирани от атакуващите.

В рамките на една година след добавянето на поддръжката за клипинг на криптовалути операторите на Phorpiex отвлякоха 969 трансакции и откраднаха 3,64 Биткойна (172 300 долара), 55,87 Етера (216 000 долара) и токени ERC20 на стойност 55 000 долара.

За защита от фишинг атаки, които прокарват ransomware, NJCCIC препоръчва да се прилагат стратегии за намаляване на риска от ransomware и да се използват решения за защита на крайни точки и решения за филтриране на имейли (като филтри за спам), за да се блокират потенциално злонамерени съобщения.

 

Източник: e-security.bg

Подобни публикации

Време е да се справим с проблема със сигурностт...

Софтуерните компании от десетилетия се основават на отворен код. Се...
15 юни 2024

Чък Робинс: "Нашата работа е да не се проваляме"

Бившият главен изпълнителен директор на Splunk Гари Стил се ангажир...

Наследените технологии пречат на дигиталната тр...

Според ново проучване остарелите наследени технологии пречат на орг...
15 юни 2024

Европол започва лов на отделни киберпрестъпници

След впечатляващото разбиване на ботнет само преди няколко дни межд...
14 юни 2024

Засилени киберзаплахи пред Евро 2024

Евро 2024  в Германия започва след няколко часа и ще завърши след м...

Ню Йорк Таймс предупреждава фрийлансърите си за...

Ню Йорк Таймс уведоми неразкрит брой сътрудници, че част от чувстви...
14 юни 2024

YouTube преминава към инжектиране на реклами от...

Съобщава се, че YouTube вече вкарва реклами директно във видеопотоц...
Бъдете социални
Още по темата
14/06/2024

Рансъмуерът Fog се насочва ...

Нова група хакери криптира данни във...
13/06/2024

Украинската киберполиция ар...

Украинската киберполиция е арестувала 28-годишен руснак...
13/06/2024

Група за рансъмуер вече се ...

Обявена наскоро  уязвимост в PHP, за...
Последно добавени
15/06/2024

Време е да се справим с про...

Софтуерните компании от десетилетия се основават...
15/06/2024

Чък Робинс: "Нашата работа ...

Бившият главен изпълнителен директор на Splunk...
15/06/2024

Наследените технологии преч...

Според ново проучване остарелите наследени технологии...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!