Espanha alerta sobre ataques de phishing de ransomware LockBit Locker

Sep 01, 2023

A Polícia Nacional da Espanha está alertando sobre uma campanha de ransomware ‘LockBit Locker’ em andamento visando empresas de arquitetura no país por meio de e-mails de phishing.

“Foi detectada uma onda de envio de emails a empresas de arquitectura, embora não esteja excluído que estendam a sua acção a outros sectores”, lê-se no comunicado policial traduzido automaticamente.

“A campanha detectada tem um nível de sofisticação muito elevado, pois as vítimas não suspeitam de nada até sofrerem a criptografia dos terminais”.

A polícia cibernética espanhola detectou que muitos e-mails são enviados do domínio inexistente “fotoprix.eu” e se fazem passar por uma empresa fotográfica.

Os atores da ameaça fingem ser uma loja de fotografia recém-inaugurada, solicitando ao escritório de arquitetura um plano de renovação/desenvolvimento das instalações e uma estimativa de custo para o trabalho.

Depois de trocar vários e-mails para construir confiança, os operadores da LockBit propõem especificar uma data de reunião para discutir o orçamento e detalhes do projeto de construção e enviar um arquivo com documentos sobre as especificações exatas da reforma.

Embora o polonês espanhol não forneça muitos detalhes técnicos, em um exemplo visto pelo BleepingComputer, este arquivo é um arquivo de imagem de disco (.img) que, quando aberto em versões mais recentes do Windows, montará automaticamente o arquivo como uma letra de unidade e exibirá seu conteúdo.

Esses arquivos contêm uma pasta chamada ‘fotoprix’ que inclui vários arquivos Python, arquivos em lote e executáveis. O arquivo também contém um atalho do Windows chamado ‘Características’, que, quando iniciado, executará um script Python malicioso.

A análise do BleepingComputer mostra que o script Python executado verificará se o usuário é administrador do dispositivo e, em caso afirmativo, fará modificações no sistema para persistência e, em seguida, executará o ransomware ‘LockBit Locker’ para criptografar arquivos.

Se o usuário do Windows não for administrador do dispositivo, ele usará o desvio do Fodhelper UAC para iniciar o criptografador de ransomware com privilégios de administrador.

A polícia espanhola sublinha o “elevado nível de sofisticação” destes ataques, notando particularmente a consistência das comunicações que convencem as vítimas de que interagem com indivíduos genuinamente interessados ​​em discutir detalhes do projeto arquitetónico.

Embora a gangue de ransomware afirme ser afiliada à notória operação de ransomware LockBit, BleepingComputer acredita que esta campanha é conduzida por diferentes atores de ameaças usando o construtor de ransomware LockBit 3.0 que vazou.

A operação regular do LockBit negocia através de um site de negociação Tor, enquanto este 'LockBit Locker' negocia via e-mail em '[email protected]' ou através da plataforma de mensagens Tox.

Além disso, a análise automatizada do mecanismo de verificação do Intezer identifica o executável do ransomware como sendo BlackMatter, uma operação de ransomware que foi encerrada em 2021 e posteriormente rebatizada como ALPHV/BlackCat.

No entanto, isso é esperado, já que o construtor LockBit 3.0 vazado, também conhecido como LockBit Black, também é identificado pela Intezer como BlackMatter por usar o código-fonte BlackMatter.

Dada a sofisticação relatada dos e-mails de phishing e da engenharia social vista pelo BleepingComputer, é provável que os atores da ameaça por trás desta campanha estejam usando diferentes iscas para empresas de outros setores.

Os actores de phishing têm utilizado extensivamente o isco do “call to bid” em campanhas que se fazem passar por empresas privadas ou agências governamentais e utilizam documentos bem elaborados para convencer da legitimidade das suas mensagens.

Gangues de ransomware notórias que adotam práticas semelhantes para comprometimento inicial são um desenvolvimento preocupante, já que se passarem por clientes legítimos podem ajudá-los a superar obstáculos como o treinamento anti-phishing de seus alvos.

Campanha de hackers força VPNs da Cisco a violar redes

Construtor de ransomware LockBit vazado online por “desenvolvedor irritado”

A Semana do Ransomware - 18 de agosto de 2023 - LockBit em Thin Ice