Από τον περασμένο μήνα, εκατομμύρια emails έχουν σταλεί μέσω του botnet Phorpiex στα πλαίσια μιας μεγάλης καμπάνιας με στόχο τη διανομή του ransomware LockBit Black.
Σύμφωνα με την υπηρεσία Cybersecurity and Communications Integration Cell (NJCCIC) του Νιου Τζέρσεϊ, οι επιτιθέμενοι χρησιμοποιούν phishing emails με συνημμένα ZIP που περιέχουν ένα εκτελέσιμο αρχείο το οποίο αναπτύσσει το LockBit Black payload. Αυτό, με τη σειρά του, κρυπτογραφεί τα συστήματα των θυμάτων εάν εκκινηθεί.
Δείτε επίσης: INC Ransom: Πωλείται ο source code του ransomware;
Το LockBit Black που χρησιμοποιείται σε αυτές τις επιθέσεις πιθανότατα έχει κατασκευαστεί μέσω του LockBit 3.0 builder, που διέρρευσε από έναν δυσαρεστημένο προγραμματιστή τον Σεπτέμβριο του 2022. Ωστόσο, αυτή η καμπάνια δεν πιστεύεται ότι έχει καμία σχέση με την πραγματική ransomware λειτουργία LockBit.
Τα phishing emails που στέλνονται μέσω του botnet Phorpiex, περιέχουν ως θέμα τις φράσεις your document” και ” photo of you???” και αποστέλλονται με τα ψευδώνυμα “Jenny Brown” ή “Jenny Green” από περισσότερες από 1.500 μοναδικές διευθύνσεις IP παγκοσμίως, συμπεριλαμβανομένου του Καζακστάν, του Ουζμπεκιστάν, του Ιράν, της Ρωσίας και της Κίνας.
Η αλυσίδα επίθεσης ξεκινά όταν ο παραλήπτης ανοίγει το κακόβουλο συνημμένο αρχείο ZIP και εκτελεί το binary. Αυτό το εκτελέσιμο κατεβάζει ένα δείγμα ransomware LockBit Black από την υποδομή του botnet Phorphiex και το εκτελεί στο σύστημα του θύματος. Μετά την εκκίνησή του, θα επιχειρήσει να κλέψει ευαίσθητα δεδομένα, να τερματίσει υπηρεσίες και να κρυπτογραφήσει αρχεία.
Δείτε επίσης: LockBit ransomware: Ανέλαβε την ευθύνη για την κυβερνοεπίθεση στην πόλη Wichita
Η εταιρεία κυβερνοασφάλειας Proofpoint, η οποία διερευνά αυτές τις επιθέσεις, δήλωσε ότι οι επιτιθέμενοι στοχεύουν εταιρείες σε διάφορους κλάδους παγκοσμίως.
Τέτοιου είδους επιθέσεις είναι εξαιρετικά συνηθισμένες, αλλά αυτή η καμπάνια ξεχωρίζει λόγω του τεράστιου αριθμού email που αποστέλλονται για την παράδοση του LockBit Black ransomware.
“Αρχίζοντας στις 24 Απριλίου 2024 και συνεχίζοντας καθημερινά για περίπου μια εβδομάδα, η Proofpoint παρατήρησε εκστρατείες μεγάλου όγκου με εκατομμύρια μηνύματα που διευκολύνθηκαν από το botnet Phorpiex και παρείχαν το ransomware LockBit Black“, είπαν οι ερευνητές της Proofpoint.
Δείτε επίσης: Dmitry Yuryevich Khoroshev: Αποκαλύφθηκε η ταυτότητα του διαχειριστή του LockBit ransomware
Προστασία από phishing
- Η εκπαίδευση των χρηστών είναι ζωτικής σημασίας. Οι χρήστες πρέπει να ενημερωθούν για τις τεχνικές phishing και πώς να αναγνωρίσουν ύποπτα μηνύματα ή συνδέσμους.
- Χρησιμοποιήστε τεχνολογίες ανίχνευσης phishing. Υπάρχουν εργαλεία και υπηρεσίες που μπορούν να εντοπίσουν και να μπλοκάρουν τις επιθέσεις phishing πριν φτάσουν στον τελικό χρήστη.
- Εφαρμόστε πολιτικές πολλαπλής ταυτοποίησης. Αυτό μπορεί να περιλαμβάνει τη χρήση κωδικών πρόσβασης μιας χρήσης, την επιβεβαίωση μέσω SMS ή τη χρήση εφαρμογών πιστοποίησης.
- Διατηρήστε το λογισμικό και τα συστήματα ενημερωμένα. Οι ενημερώσεις λογισμικού συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν από τις επιθέσεις phishing.
- Ελέγχετε τακτικά τα αρχεία καταγραφής και τις αναφορές ασφαλείας για να εντοπίσετε πιθανές επιθέσεις phishing. Η πρόληψη είναι σημαντική, αλλά η γνώση του πώς και πότε επιτέθηκε ένας χρήστης μπορεί να βοηθήσει στην αποφυγή μελλοντικών επιθέσεων.
Πηγή: www.bleepingcomputer.com
