Desde abril, milhões de e-mails de phishing foram enviados através da botnet Phorpiex para uma campanha do ransomware LockBit Black em grande escala. Como alertou a New Jersey’s Cybersecurity and Communications Integration Cell (NJCCIC), primeira organização americana de compartilhamento e análise de informações sobre ameaças cibernéticas em nível estadual, os invasores usam anexos ZIP contendo um executável que implanta a carga útil do LockBit Black, que criptografa os sistemas dos destinatários, se inicializado.
O criptografador LockBit Black implantado nesses ataques provavelmente foi construído usando o construtor LockBit 3.0 vazado por um desenvolvedor insatisfeito no Twitter em setembro de 2022. No entanto, não se acredita que essa campanha tenha qualquer afiliação com a operação real do ransomware LockBit.
Os e-mails de phishing com “seu documento” e “sua foto” na linha de assunto estão sendo enviados usando os pseudônimos Jenny Brown ou Jenny Green de mais de 1.500 endereços IP exclusivos em todo o mundo, incluindo Cazaquistão, Uzbequistão, Irã, Rússia e China. A cadeia de ataque começa quando o destinatário abre o anexo malicioso do arquivo ZIP e executa o binário contido nele.
A empresa de segurança cibernética Proofpoint, que investiga esses ataques desde 24 de abril, disse na segunda-feira, 13, que os operadores da ameaça têm como alvo empresas de vários setores em todo o mundo. Segundo a empresa de segurança cibernética, embora essa abordagem não seja nova, o grande número de e-mails enviados para entregar cargas maliciosas e ransomware usado como carga útil de primeiro estágio fazem com que ela se destaque, embora não tenha a sofisticação de outros ataques cibernéticos.
Esta é a primeira vez que os pesquisadores da Proofpoint observaram amostras do ransomware LockBit Black — também conhecido como LockBit 3.0 — sendo entregues via Phorphiex em volumes tão elevados. A botnet está ativa há mais de uma década. Ela evoluiu de um worm que se espalhava por meio de armazenamento USB removível e chats do Skype ou Windows Live Messenger para um trojan controlado por IRC (internet relay chat) que usava entrega de spam por e-mail.
Um ano depois de adicionar suporte para criptografia, os operadores da Phorpiex sequestraram 969 transações e roubaram 3,64 Bitcoin (US$ 172.300), 55,87 Ethereum (US$ 216 mil) e US$ 55 mil em tokens ERC20.A NJCCIC publicou no site oficial do Estado de Nova Jersey alertas sobre a nova campanha do LockBit Black, bem como estratégias de mitigação de riscos do ransomware.
Fonte: CisoAdvisor
