Language
Испания предупреждает о фишинговых атаках с использованием программы-вымогателя LockBit Locker

Блог

ДомДом / Блог / Испания предупреждает о фишинговых атаках с использованием программы-вымогателя LockBit Locker
search

Sep 02, 2023

11 лучших решений для хранения секс-игрушек 2023 года для хранения вашего X

Jul 10, 2023

15 стульев для столовой, которые подойдут для каждого дома

Jun 24, 2024

Европейская квалификация IFSC Sport Climbing Speed ​​2023

Aug 30, 2023

20 лучших ящиков и корзин для хранения вещей 2023 года

Aug 09, 2023

В этом году на экзамены в 10-й и 12-й классы зарегистрируются 2,13 миллиона учеников.

Отправьте запрос
ПРЕДСТАВЛЯТЬ НА РАССМОТРЕНИЕ

Jan 02, 2024

Испания предупреждает о фишинговых атаках с использованием программы-вымогателя LockBit Locker

Национальная полиция Испании предупреждает о продолжающейся кампании по вымогательству LockBit Locker, нацеленной на архитектурные компании в стране посредством фишинговых электронных писем. «Волна отправки электронных писем на

Национальная полиция Испании предупреждает о продолжающейся кампании по вымогательству LockBit Locker, нацеленной на архитектурные компании в стране посредством фишинговых электронных писем.

"Зафиксирована волна рассылки электронных писем архитектурным компаниям, хотя не исключено, что они распространят свою деятельность и на другие отрасли", - говорится в переведенном на машине сообщении полиции.

«Обнаруженная кампания имеет очень высокий уровень сложности, поскольку жертвы ничего не подозревают, пока не подвергнутся шифрованию терминалов».

Киберполиция Испании обнаружила, что многие электронные письма отправляются с несуществующего домена «fotoprix.eu» и выдают себя за фотофирму.

Злоумышленники выдают себя за недавно открывшийся фотомагазин и запрашивают у архитектурной фирмы план реконструкции/развития объекта и смету на работы.

После обмена несколькими электронными письмами для укрепления доверия операторы LockBit предлагают назначить дату встречи для обсуждения бюджета и деталей строительного проекта и отправить архив с документами с точными спецификациями ремонта.

Хотя испанский вариант не содержит особых технических подробностей, в образце, просмотренном BleepingComputer, этот архив представляет собой файл образа диска (.img), который при открытии в более новых версиях Windows автоматически монтирует файл как букву диска и отображает его содержание.

Эти архивы содержат папку с именем «fotoprix», содержащую множество файлов Python, пакетных файлов и исполняемых файлов. Архив также содержит ярлык Windows с именем «Caracteristicas», который при запуске запускает вредоносный скрипт Python.

Анализ BleepingComputer показывает, что выполняемый скрипт Python проверяет, является ли пользователь администратором устройства, и если да, вносит изменения в систему для обеспечения устойчивости, а затем запускает программу-вымогатель LockBit Locker для шифрования файлов.

Если пользователь Windows не является администратором на устройстве, он будет использовать обход Fodhelper UAC для запуска шифровальщика-вымогателя с правами администратора.

Испанская полиция подчеркивает «очень высокий уровень сложности» этих нападений, особенно отмечая последовательность сообщений, которые убеждают жертв в том, что они общаются с людьми, искренне заинтересованными в обсуждении деталей архитектурного проекта.

Хотя банда вымогателей утверждает, что связана с пресловутой операцией по вымогательству LockBit, BleepingComputer полагает, что эта кампания проводится различными злоумышленниками, использующими утекший в сеть сборщик программ-вымогателей LockBit 3.0.

Обычная операция LockBit осуществляет переговоры через сайт переговоров Tor, в то время как этот «LockBit Locker» ведет переговоры по электронной почте «[email protected]» или через платформу обмена сообщениями Tox.

Кроме того, автоматический анализ с помощью сканирующего механизма Intezer идентифицирует исполняемый файл программы-вымогателя как BlackMatter, операцию по вымогательству, которая была прекращена в 2021 году и позже переименована в ALPHV/BlackCat.

Однако это ожидаемо, поскольку просочившийся сборщик LockBit 3.0, также известный как LockBit Black, также идентифицируется Intezer как BlackMatter из-за использования исходного кода BlackMatter.

Учитывая изощренность фишинговых писем и социальной инженерии, обнаруженную BleepingComputer, вполне вероятно, что злоумышленники, стоящие за этой кампанией, используют различные приманки для компаний из других секторов.

Субъекты фишинга широко использовали приманку «призыв к участию в торгах» в кампаниях, выдавая себя за частные фирмы или государственные учреждения и используя хорошо составленные документы, чтобы убедить в легитимности своих сообщений.

Пресловутые банды программ-вымогателей, применяющие аналогичные методы для первоначального компрометации, вызывают тревогу, поскольку выдавая себя за законных клиентов, они могут помочь им преодолеть такие препятствия, как обучение их жертв антифишингу.

Хакерская кампания грубо вынуждает Cisco VPN взламывать сети

Создатель программы-вымогателя LockBit слился в сеть «разгневанным разработчиком»

Неделя программ-вымогателей – 18 августа 2023 г. – LockBit на тонком льду