Η Εθνική Αστυνομία της Ισπανίας εκδίδει προειδοποίηση σχετικά με μια επίθεση ransomware “LockBit Locker”, η οποία στοχεύει αρχιτεκτονικά γραφεία της χώρας, ξεκινώντας την επίθεση με phishing emails.
Σύμφωνα με την ανακοίνωση της αστυνομίας, έχουν εντοπιστεί πολλά emails που στοχεύουν τέτοιες εταιρείες, ενώ υπάρχουν φόβοι ότι οι επιτιθέμενοι θα μπορούσαν να επεκτείνουν τη δράση τους και σε άλλους τομείς.
“Η καμπάνια, που εντοπίστηκε, χαρακτηρίζεται από πολύ υψηλό επίπεδο πολυπλοκότητας αφού τα θύματα δεν υποψιάζονται τίποτα μέχρι να υποστούν την κρυπτογράφηση των τερματικών“.
Το τμήμα της αστυνομίας που ασχολείται με εγκλήματα κυβερνοχώρου στην Ισπανία ανακάλυψε ότι πολλά email αποστέλλονται από τον ανύπαρκτο domain “fotoprix.eu” και υποδύονται μια εταιρεία που ασχολείται με τη φωτογραφία.
Δείτε επίσης: MalDoc in PDF: Απόκρυψη κακόβουλων Word αρχείων σε PDFs
Οι επιτιθέμενοι στέλνουν email στα αρχιτεκτονικά γραφεία και παρουσιάζονται ως εκπρόσωποι ενός νέου καταστήματος φωτογραφιών. Έπειτα ζητούν από την εταιρεία ένα σχέδιο ανακαίνισης και ανάπτυξης των εγκαταστάσεών του, καθώς και μια εκτίμηση του κόστους για το έργο.
Μετά την ανταλλαγή πολλών emails (ώστε να αναπτυχθεί εμπιστοσύνη), οι χειριστές του LockBit Locker ransomware ζητούν να γίνει μια συνάντηση για να συζητήσουν τον προϋπολογισμό και τις λεπτομέρειες του έργου. Στέλνουν, επίσης, ένα αρχείο με υποτιθέμενα έγγραφα σχετικά με τις ακριβείς προδιαγραφές της ανακαίνισης.
Σύμφωνα με ένα δείγμα αρχείου που είδε το BleepingComputer, πρόκειται για ένα disk image (.img) file, το οποίο όταν ανοίξει σε νεότερες εκδόσεις των Windows, θα προσαρτήσει αυτόματα το αρχείο ως drive letter και θα εμφανιστεί το περιεχόμενό του.
Αυτά τα archives περιέχουν έναν φάκελο με το όνομα “fotoprix” που περιλαμβάνει πολλά αρχεία Python, batch files και εκτελέσιμα αρχεία. Το archive περιέχει, επίσης, μια συντόμευση των Windows με το όνομα “Caracteristicas“, η οποία, όταν εκκινηθεί, θα εκτελέσει ένα κακόβουλο Python script.
Σύμφωνα με το BleepingComputer, το Python script θα ελέγξει εάν ο χρήστης είναι διαχειριστής της συσκευής και, εάν ναι, θα κάνει τροποποιήσεις στο σύστημα για να πετύχει persistence. Στη συνέχεια θα εκτελέσει το ransomware “LockBit Locker” για την κρυπτογράφηση των αρχείων της συσκευής.
Από την άλλη μεριά, εάν ο χρήστης δεν είναι διαχειριστής της συσκευής, το script θα χρησιμοποιήσει το Fodhelper UAC bypass για να ξεκινήσει την κρυπτογράφηση με δικαιώματα διαχειριστή.
Δείτε επίσης: Η συμμορία ransomware Rhysida ανέλαβε την ευθύνη για την κυβερνοεπίθεση στην Prospect Medical Holdings
Η ισπανική αστυνομία τονίζει ότι η συγκεκριμένη phishing επίθεση για τη διανομή του LockBit Locker ransomware είναι δύσκολο να εντοπιστεί, αφού οι επιτιθέμενοι επικοινωνούν με τρόπο που τα θύματα δεν μπορούν να καταλάβουν ότι πρόκειται για απάτη. Τα θύματα πιστεύουν ότι μιλούν με άτομα που ενδιαφέρονται πραγματικά για κάποιο αρχιτεκτονικό project.
Ενώ η συμμορία ransomware ισχυρίζεται ότι συνδέεται με τη διαβόητη λειτουργία ransomware LockBit, το BleepingComputer πιστεύει ότι αυτή η καμπάνια διεξάγεται από διαφορετικούς παράγοντες απειλών που απλά χρησιμοποιούν το LockBit 3.0 ransomware builder που είχε διαρρεύσει.
Το κανονικό LockBit διαπραγματεύεται μέσω ενός ιστότοπου Tor, ενώ αυτό το “LockBit Locker” διαπραγματεύεται μέσω email στο “lockspain@onionmail.org” ή μέσω της πλατφόρμας ανταλλαγής μηνυμάτων Tox.
Επιπλέον, η αυτοματοποιημένη ανάλυση από τη μηχανή σάρωσης της Intezer προσδιορίζει το εκτελέσιμο ransomware ως BlackMatter, μια λειτουργία ransomware που έκλεισε το 2021 και αργότερα μετονομάστηκε σε ALPHV/BlackCat. Ωστόσο, αυτό μπορεί να μην φαίνεται παράξενο, καθώς το LockBit 3.0 builder που διέρρευσε (γνωστό και ως LockBit Black), προσδιορίζεται επίσης από την Intezer ως BlackMatter επειδή χρησιμοποιεί source code του BlackMatter.
Δείτε επίσης: Ransomware: Οι hackers μειώνουν τον χρόνο που περνούν στα παραβιασμένα συστήματα
Όπως και να έχει, η νέα phishing καμπάνια διανομής του LockBit Locker ransomware δείχνει πόσο δύσκολα έχουν γίνει τα πράγματα στον εντοπισμό της απάτης. Οι επιτιθέμενοι είναι πολύ πειστικοί και είναι πιθανό να χρησιμοποιούν άλλα δολώματα για να στοχεύσουν εταιρείες σε άλλους κλάδους.
Τέτοιες επιθέσεις phishing (οι οποίες οδηγούν και σε μόλυνση από ransomware) αποτελούν μια ευρέως διαδεδομένη απειλή. Θα πρέπει να γίνονται αυστηροί έλεγχοι των emails καθώς και των αρχείων που περιέχουν. Η εκπαίδευση των χρηστών σε θέματα κυβερνοασφάλειας είναι κρίσιμη, ώστε να γνωρίζουν πώς να αντιμετωπίζουν τους απατεώνες. Οι επιθέσεις ransomware μπορούν να έχουν καταστροφικές συνέπειες για μια εταιρεία, ιδιαίτερα αν προσβληθούν κρίσιμα δεδομένα.
Πηγή: www.bleepingcomputer.com
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/479463/ispania-phishing-emails-dianemoun-lockbit-locker-ransomware/&media=https://www.secnews.gr/wp-content/uploads/2023/08/Lockbit-locker-ransomware-phishing-min.jpg&description=Η Εθνική Αστυνομία της Ισπανίας εκδίδει προειδοποίηση σχετικά με μια επίθεση ransomware "LockBit Locker", η οποία ξεκινά με phishing emails.){kind=link}