Desde abril, milhões de e-mails de phishing foram enviados por meio do botnet Phorpiex para conduzir uma campanha de ransomware LockBit Black em larga escala.
Como a New Jersey's Cybersecurity and Communications Integration Cell (NJCCIC) alertou na sexta-feira, os atacantes usam anexos ZIP contendo um executável que implementa o payload do LockBit Black, que criptografa os sistemas dos destinatários se lançado.
O criptografador LockBit Black empregado nesses ataques provavelmente foi construído usando o construtor LockBit 3.0 vazado por um desenvolvedor insatisfeito no Twitter em setembro de 2022.
No entanto, acredita-se que essa campanha não tenha nenhuma afiliação com a operação de ransomware LockBit real.
Esses e-mails de phishing com assuntos "seu documento" e "foto sua???" estão sendo enviados usando os aliases "Jenny Brown" ou "Jenny Green" de mais de 1.500 endereços IP únicos ao redor do mundo, incluindo Cazaquistão, Uzbequistão, Irã, Rússia e China.
A cadeia de ataque começa quando o destinatário abre o anexo malicioso do arquivo ZIP e executa o binário contido nele.
Esse executável então faz o download de uma amostra do ransomware LockBit Black da infraestrutura do botnet Phorpiex e o executa no sistema da vítima.
Após o lançamento, ele tentará roubar dados sensíveis, terminar serviços e criptografar arquivos.
A empresa de cibersegurança Proofpoint, que vem investigando esses ataques spray-and-pray desde 24 de abril, disse na segunda-feira que os atores de ameaças visam empresas em diversos setores industriais ao redor do mundo.
Embora essa abordagem não seja nova, o número massivo de e-mails enviados para entregar os payloads maliciosos e o uso de ransomware como um payload de primeira etapa faz com que se destaque mesmo que não tenha a sofisticação de outros ciberataques.
"A partir de 24 de abril de 2024 e continuando diariamente por cerca de uma semana, a Proofpoint observou campanhas de alto volume com milhões de mensagens facilitadas pelo botnet Phorpiex e entregando ransomware LockBit Black", disseram os pesquisadores de segurança da Proofpoint.
Esta é a primeira vez que pesquisadores da Proofpoint observaram amostras de ransomware LockBit Black (também conhecido como LockBit 3.0) sendo entregues via Phorphiex em volumes tão altos.
O botnet Phorpiex (também conhecido como Trik) está ativo há mais de uma década.
Ele evoluiu de um worm que se espalhou via armazenamento USB removível e chats do Skype ou Windows Live Messenger para um trojan controlado por IRC que usou entrega de spam por e-mail.
Enquanto crescia lentamente para um tamanho massivo, controlando mais de 1 milhão de dispositivos infectados após anos de atividade e desenvolvimento, os operadores do botnet tentaram vender o código-fonte do malware em um fórum de hacking após desligar a infraestrutura do Phorpiex.
O botnet Phorpiex também foi usado para enviar milhões de e-mails de sextortion (spamming mais de 30.000 e-mails por hora) e, mais recentemente, usou um módulo de sequestro de área de transferência (clipboard hijacker) para substituir endereços de carteiras de criptomoedas copiados para a área de transferência do Windows por outros controlados pelos atacantes.
Dentro de um ano após adicionar suporte ao crypto-clipping, os operadores do Phorpiex sequestraram 969 transações e roubaram 3,64 Bitcoin ($172.300), 55.87 Ether ($216.000), e $55.000 em tokens ERC20.
Para se defender contra ataques de phishing que impulsionam ransomware, a NJCCIC recomenda implementar estratégias de mitigação de risco de ransomware e usar soluções de segurança de endpoint e soluções de filtragem de e-mails (como filtros de spam) para bloquear mensagens potencialmente maliciosas.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...