Italiano
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
Casa
Jan 02, 2024
La Spagna avverte degli attacchi di phishing del ransomware LockBit Locker
La polizia nazionale spagnola avverte di una campagna ransomware in corso, "LockBit Locker", che prende di mira le società di architettura del paese tramite e-mail di phishing. "Un'ondata di invio di email a
La polizia nazionale spagnola avverte di una campagna ransomware in corso, "LockBit Locker", che prende di mira le società di architettura del paese tramite e-mail di phishing.
"È stata rilevata un'ondata di invii di e-mail a società di architettura, anche se non è escluso che estendano la loro azione ad altri settori", si legge nell'annuncio della polizia tradotto automaticamente.
"La campagna rilevata ha un livello molto elevato di sofisticazione poiché le vittime non sospettano nulla finché non subiscono la crittografia dei terminali."
La polizia informatica spagnola ha rilevato che molte e-mail vengono inviate dal dominio inesistente "fotoprix.eu" e si spacciano per un'azienda fotografica.
Gli autori della minaccia fingono di essere un negozio di fotografia appena aperto e richiedono allo studio di architettura un piano di ristrutturazione/sviluppo della struttura e un preventivo di spesa per il lavoro.
Dopo aver scambiato diverse e-mail per creare fiducia, gli operatori LockBit propongono di fissare una data di incontro per discutere il budget e i dettagli del progetto di costruzione e inviare un archivio con documenti sulle specifiche esatte della ristrutturazione.
Anche se la versione spagnola non fornisce molti dettagli tecnici, in un esempio visto da BleepingComputer, questo archivio è un file immagine disco (.img) che, una volta aperto nelle versioni più recenti di Windows, monterà automaticamente il file come lettera di unità e visualizzerà il suo contenuto.
Questi archivi contengono una cartella denominata "fotoprix" che include numerosi file Python, file batch ed eseguibili. L'archivio contiene anche un collegamento Windows denominato "Caracteristicas" che, una volta avviato, eseguirà uno script Python dannoso.
L'analisi di BleepingComputer mostra che lo script Python eseguito controllerà se l'utente è un amministratore del dispositivo e, in tal caso, apporterà modifiche al sistema per la persistenza e quindi eseguirà il ransomware "LockBit Locker" per crittografare i file.
Se l'utente Windows non è un amministratore del dispositivo, utilizzerà il bypass UAC Fodhelper per avviare il crittografo ransomware con privilegi di amministratore.
La polizia spagnola sottolinea l'"altissimo livello di sofisticatezza" di questi attacchi, sottolineando in particolare la coerenza delle comunicazioni che convincono le vittime a interagire con persone sinceramente interessate a discutere i dettagli del progetto architettonico.
Sebbene il gruppo di ransomware affermi di essere affiliato alla famigerata operazione di ransomware LockBit, BleepingComputer ritiene che questa campagna sia condotta da diversi autori di minacce utilizzando il builder di ransomware LockBit 3.0 trapelato.
La normale operazione LockBit negozia attraverso un sito di negoziazione Tor, mentre questo "LockBit Locker" negozia via e-mail all'indirizzo "[email protected]" o tramite la piattaforma di messaggistica Tox.
Inoltre, l'analisi automatizzata del motore di scansione di Intezer identifica l'eseguibile del ransomware come BlackMatter, un'operazione ransomware interrotta nel 2021 e successivamente rinominata ALPHV/BlackCat.
Tuttavia, ciò è previsto, poiché il builder LockBit 3.0 trapelato, noto anche come LockBit Black, viene identificato da Intezer anche come BlackMatter per l'utilizzo del codice sorgente BlackMatter.
Considerata la sofisticatezza delle e-mail di phishing e dell'ingegneria sociale riscontrate da BleepingComputer, è probabile che gli autori delle minacce dietro questa campagna stiano utilizzando esche diverse per aziende di altri settori.
Gli autori del phishing hanno ampiamente utilizzato l'esca "call to bid" nelle campagne spacciandosi per aziende private o agenzie governative e utilizzando documenti ben realizzati per convincere della legittimità dei loro messaggi.
Famigerate bande di ransomware che adottano pratiche simili per la compromissione iniziale sono uno sviluppo preoccupante, poiché spacciarsi per clienti legittimi potrebbe aiutarli a superare ostacoli come la formazione anti-phishing dei loro obiettivi.
Una campagna di hacking impone alle VPN Cisco di violare le reti
Il generatore di ransomware LockBit trapelato online da uno "sviluppatore arrabbiato"
La settimana del ransomware - 18 agosto 2023 - LockBit sul ghiaccio sottile