Milhões de e-mails disparam ransomware
14 de Maio de 2024

Desde abril, milhões de e-mails de phishing foram enviados por meio do botnet Phorpiex para conduzir uma campanha de ransomware LockBit Black em larga escala.

Como a New Jersey's Cybersecurity and Communications Integration Cell (NJCCIC) alertou na sexta-feira, os atacantes usam anexos ZIP contendo um executável que implementa o payload do LockBit Black, que criptografa os sistemas dos destinatários se lançado.

O criptografador LockBit Black empregado nesses ataques provavelmente foi construído usando o construtor LockBit 3.0 vazado por um desenvolvedor insatisfeito no Twitter em setembro de 2022.

No entanto, acredita-se que essa campanha não tenha nenhuma afiliação com a operação de ransomware LockBit real.

Esses e-mails de phishing com assuntos "seu documento" e "foto sua???" estão sendo enviados usando os aliases "Jenny Brown" ou "Jenny Green" de mais de 1.500 endereços IP únicos ao redor do mundo, incluindo Cazaquistão, Uzbequistão, Irã, Rússia e China.

A cadeia de ataque começa quando o destinatário abre o anexo malicioso do arquivo ZIP e executa o binário contido nele.

Esse executável então faz o download de uma amostra do ransomware LockBit Black da infraestrutura do botnet Phorpiex e o executa no sistema da vítima.

Após o lançamento, ele tentará roubar dados sensíveis, terminar serviços e criptografar arquivos.

A empresa de cibersegurança Proofpoint, que vem investigando esses ataques spray-and-pray desde 24 de abril, disse na segunda-feira que os atores de ameaças visam empresas em diversos setores industriais ao redor do mundo.

Embora essa abordagem não seja nova, o número massivo de e-mails enviados para entregar os payloads maliciosos e o uso de ransomware como um payload de primeira etapa faz com que se destaque mesmo que não tenha a sofisticação de outros ciberataques.

"A partir de 24 de abril de 2024 e continuando diariamente por cerca de uma semana, a Proofpoint observou campanhas de alto volume com milhões de mensagens facilitadas pelo botnet Phorpiex e entregando ransomware LockBit Black", disseram os pesquisadores de segurança da Proofpoint.

Esta é a primeira vez que pesquisadores da Proofpoint observaram amostras de ransomware LockBit Black (também conhecido como LockBit 3.0) sendo entregues via Phorphiex em volumes tão altos.

O botnet Phorpiex (também conhecido como Trik) está ativo há mais de uma década.

Ele evoluiu de um worm que se espalhou via armazenamento USB removível e chats do Skype ou Windows Live Messenger para um trojan controlado por IRC que usou entrega de spam por e-mail.

Enquanto crescia lentamente para um tamanho massivo, controlando mais de 1 milhão de dispositivos infectados após anos de atividade e desenvolvimento, os operadores do botnet tentaram vender o código-fonte do malware em um fórum de hacking após desligar a infraestrutura do Phorpiex.

O botnet Phorpiex também foi usado para enviar milhões de e-mails de sextortion (spamming mais de 30.000 e-mails por hora) e, mais recentemente, usou um módulo de sequestro de área de transferência (clipboard hijacker) para substituir endereços de carteiras de criptomoedas copiados para a área de transferência do Windows por outros controlados pelos atacantes.

Dentro de um ano após adicionar suporte ao crypto-clipping, os operadores do Phorpiex sequestraram 969 transações e roubaram 3,64 Bitcoin ($172.300), 55.87 Ether ($216.000), e $55.000 em tokens ERC20.

Para se defender contra ataques de phishing que impulsionam ransomware, a NJCCIC recomenda implementar estratégias de mitigação de risco de ransomware e usar soluções de segurança de endpoint e soluções de filtragem de e-mails (como filtros de spam) para bloquear mensagens potencialmente maliciosas.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...