Espanha alerta sobre ataques de phishing do ransomware LockBit Locker
29 de Agosto de 2023

A Polícia Nacional da Espanha está alertando sobre uma campanha de ransomware em andamento chamada 'LockBit Locker', que está visando empresas de arquitetura no país através de e-mails de phishing.

"Detectamos uma onda de envio de e-mails para empresas de arquitetura, embora não seja descartada a possibilidade de estenderem sua ação a outros setores", diz o anúncio da polícia traduzido automaticamente.

"A campanha detectada tem um nível muito alto de sofisticação, pois as vítimas não suspeitam de nada até sofrerem a criptografia dos terminais."

A polícia cibernética da Espanha detectou que muitos e-mails são enviados do domínio inexistente "fotoprix.eu" e se passam por uma empresa de fotografia.

Os criminosos cibernéticos se passam por uma loja de fotografia recém-inaugurada solicitando um plano de renovação/desenvolvimento de instalações e uma estimativa de custo para o trabalho da empresa de arquitetura.

Depois de trocar vários e-mails para criar confiança, os operadores do LockBit propõem especificar uma data de reunião para discutir o orçamento e os detalhes do projeto de construção e enviam um arquivo com documentos sobre as especificações exatas da reforma.

Embora a polícia espanhola não forneça muitos detalhes técnicos, em uma amostra vista pelo BleepingComputer, este arquivo é uma imagem de disco (.img) que, quando aberta em versões mais recentes do Windows, montará automaticamente o arquivo como uma letra de unidade e exibirá seu conteúdo.

Esses arquivos contêm uma pasta chamada 'fotoprix' que inclui vários arquivos Python, arquivos de lote e executáveis.

O arquivo também contém um atalho do Windows chamado 'Caracteristicas', que, quando iniciado, executará um script Python malicioso.

A análise do BleepingComputer mostra que o script Python executado verificará se o usuário é um administrador do dispositivo e, se for, fará modificações no sistema para persistência e então executará o ransomware 'LockBit Locker' para criptografar arquivos.

Se o usuário do Windows não for um administrador no dispositivo, ele usará o bypass do UAC do Fodhelper para lançar o criptografador de ransomware com privilégios de administrador.

A polícia espanhola destaca o "nível muito alto de sofisticação" desses ataques, observando particularmente a consistência das comunicações que convencem as vítimas de que estão interagindo com indivíduos genuinamente interessados em discutir detalhes de projetos arquitetônicos.

Embora a gangue de ransomware alegue estar afiliada à notória operação de ransomware LockBit, o BleepingComputer acredita que esta campanha está sendo conduzida por diferentes atores de ameaças usando o construtor de ransomware LockBit 3.0 vazado.

A operação regular do LockBit negocia através de um site de negociação Tor, enquanto este 'LockBit Locker' negocia por e-mail em 'lockspain@onionmail[.]org' ou através da plataforma de mensagens Tox.

Além disso, a análise automatizada do mecanismo de varredura da Intezer identifica o executável do ransomware como sendo BlackMatter, uma operação de ransomware que fechou em 2021 e mais tarde foi renomeada para ALPHV/BlackCat.

No entanto, isso é esperado, pois o construtor LockBit 3.0 vazado, também conhecido como LockBit Black, também é identificado pela Intezer como BlackMatter por seu uso do código-fonte de BlackMatter.

Dada a sofisticação relatada dos e-mails de phishing e da engenharia social vista pelo BleepingComputer, é provável que os atores de ameaça por trás desta campanha estejam usando diferentes iscas para empresas de outros setores.

Os atores do phishing têm usado extensivamente o chamariz "call to bid" em campanhas se passando por empresas privadas ou agências governamentais e usando documentos bem elaborados para convencer da legitimidade de suas mensagens.

Gangues de ransomware notórias adotando práticas semelhantes para comprometer inicialmente é um desenvolvimento preocupante, pois se passar por clientes legítimos poderia ajudá-los a superar obstáculos como o treinamento anti-phishing de seus alvos.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...