Хакеры снова распространяют программы-вымогатели LockBit, но на этот раз некоторые из них были обнаружены с помощью старой и широко используемой фишинговой платформы под названием Phorpiex.
Исследователи из Proofpoint, которые следили за кампанией с конца апреля 2024 года, обнаружили, что неизвестный партнер LockBit использовал фишинговый комплект Phorpiex для доставки LockBit Black (также известного как LockBit 3.0) на максимально возможное количество конечных точек.
Кампания не выглядит особенно целенаправленной или персонализированной: злоумышленники закидывают широкую сеть и видят только то, что находит отклик.
Злой умысел
Кампании также не хватает персонализации, когда дело доходит до самих фишинговых писем. Proofpoint утверждает, что все электронные письма приходят с одного и того же адреса — Jenny@gsd.[.]com — тот же адрес, который использовался в кампаниях по распространению вредоносного ПО еще в январе 2023 года. В теле письма жертве предлагается просмотреть прикрепленный документ и не более того.
Вложение представляет собой ZIP-архив с EXE-файлом, который при запуске удаляет LockBit 3.0. Интересно, что программа-вымогатель блокирует устройство локально и не пытается проникнуть через сети. Это потенциально ограничивает потенциал шифрования, но также предотвращает обнаружение и блокировку сети.
LockBit — это известная программа-вымогатель как услуга, различные версии которой циркулируют в даркнете. Наиболее популярные версии включают LockBit 2.0 и LockBit Green. Сообщается, что эта версия LockBit 3.0 (LockBit Black) была создана в начале лета 2022 года некоторыми партнерами программы-вымогателя.
Ранее в этом году группа международных правоохранительных органов провела крупную кампанию, которая разрушила инфраструктуру LockBit, конфисковала множество устройств и вымогала множество криптовалют на протяжении многих лет, но без каких-либо арестов LockBit вновь появился примерно через неделю.
Больше от TechRadar Pro
