A Polícia Nacional da Espanha está alertando sobre uma campanha de ransomware em andamento chamada 'LockBit Locker', que está visando empresas de arquitetura no país através de e-mails de phishing.
"Detectamos uma onda de envio de e-mails para empresas de arquitetura, embora não seja descartada a possibilidade de estenderem sua ação a outros setores", diz o anúncio da polícia traduzido automaticamente.
"A campanha detectada tem um nível muito alto de sofisticação, pois as vítimas não suspeitam de nada até sofrerem a criptografia dos terminais."
A polícia cibernética da Espanha detectou que muitos e-mails são enviados do domínio inexistente "fotoprix.eu" e se passam por uma empresa de fotografia.
Os criminosos cibernéticos se passam por uma loja de fotografia recém-inaugurada solicitando um plano de renovação/desenvolvimento de instalações e uma estimativa de custo para o trabalho da empresa de arquitetura.
Depois de trocar vários e-mails para criar confiança, os operadores do LockBit propõem especificar uma data de reunião para discutir o orçamento e os detalhes do projeto de construção e enviam um arquivo com documentos sobre as especificações exatas da reforma.
Embora a polícia espanhola não forneça muitos detalhes técnicos, em uma amostra vista pelo BleepingComputer, este arquivo é uma imagem de disco (.img) que, quando aberta em versões mais recentes do Windows, montará automaticamente o arquivo como uma letra de unidade e exibirá seu conteúdo.
Esses arquivos contêm uma pasta chamada 'fotoprix' que inclui vários arquivos Python, arquivos de lote e executáveis.
O arquivo também contém um atalho do Windows chamado 'Caracteristicas', que, quando iniciado, executará um script Python malicioso.
A análise do BleepingComputer mostra que o script Python executado verificará se o usuário é um administrador do dispositivo e, se for, fará modificações no sistema para persistência e então executará o ransomware 'LockBit Locker' para criptografar arquivos.
Se o usuário do Windows não for um administrador no dispositivo, ele usará o bypass do UAC do Fodhelper para lançar o criptografador de ransomware com privilégios de administrador.
A polícia espanhola destaca o "nível muito alto de sofisticação" desses ataques, observando particularmente a consistência das comunicações que convencem as vítimas de que estão interagindo com indivíduos genuinamente interessados em discutir detalhes de projetos arquitetônicos.
Embora a gangue de ransomware alegue estar afiliada à notória operação de ransomware LockBit, o BleepingComputer acredita que esta campanha está sendo conduzida por diferentes atores de ameaças usando o construtor de ransomware LockBit 3.0 vazado.
A operação regular do LockBit negocia através de um site de negociação Tor, enquanto este 'LockBit Locker' negocia por e-mail em 'lockspain@onionmail[.]org' ou através da plataforma de mensagens Tox.
Além disso, a análise automatizada do mecanismo de varredura da Intezer identifica o executável do ransomware como sendo BlackMatter, uma operação de ransomware que fechou em 2021 e mais tarde foi renomeada para ALPHV/BlackCat.
No entanto, isso é esperado, pois o construtor LockBit 3.0 vazado, também conhecido como LockBit Black, também é identificado pela Intezer como BlackMatter por seu uso do código-fonte de BlackMatter.
Dada a sofisticação relatada dos e-mails de phishing e da engenharia social vista pelo BleepingComputer, é provável que os atores de ameaça por trás desta campanha estejam usando diferentes iscas para empresas de outros setores.
Os atores do phishing têm usado extensivamente o chamariz "call to bid" em campanhas se passando por empresas privadas ou agências governamentais e usando documentos bem elaborados para convencer da legitimidade de suas mensagens.
Gangues de ransomware notórias adotando práticas semelhantes para comprometer inicialmente é um desenvolvimento preocupante, pois se passar por clientes legítimos poderia ajudá-los a superar obstáculos como o treinamento anti-phishing de seus alvos.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...