Introducció
A partir del 24 d’abril de 2024 i continuant diàriament durant aproximadament una setmana, Proofpoint va observar campanyes d’alt volum amb milions de missatges facilitats per la xarxa de zombis Phorpiex i entregant el programari de segrest LockBit Black. Esta és la primera vegada que els investigadors de Proofpoint observen mostres del programari de segrest LockBit Black (també conegut com a LockBit 3.0) i és entregat a través de Phorpiex en volums tan alts. La mostra de LockBit Black d’esta campanya probablement va ser creada a partir del constructor de LockBit que es va filtrar durant l’estiu de 2023.
Anàlisi
Els missatges provenien de “Jenny Green” amb l’adreça de correu electrònic Jenny@gsd[.]com. Els correus electrònics contenien un arxiu ZIP adjunt amb un executable (.exe). Es va observar que este executable descarregava la càrrega útil de LockBit Black des de la infraestructura de la xarxa de zombis Phorpiex.
From: “Jenny Green” jenny@gsd[.]com
Subject: Your Document
Attachment: Document.zip
Els correus electrònics apuntaven a organitzacions en múltiples verticals a tot el món i semblaven ser oportunístics en lloc d’estar dirigits específicament. Si bé la cadena d’atac per a esta campanya no era necessàriament complexa en comparació amb l’observat en el panorama del ciberdelicte fins ara en 2024, la naturalesa d’alt volum dels missatges i l’ús de programari de segrest com a càrrega útil de primera etapa és notable.
La cadena d’atac requerix interacció de l’usuari i comença quan un usuari final executa l’executable comprimit en l’arxiu ZIP adjunt. El binari.exe iniciarà una crida de xarxa a la infraestructura de la xarxa de zombis Phorpiex. Si té èxit, es descarrega i detona la mostra de LockBit Black en el sistema de l’usuari final, on exhibix comportament de robatori de dades i pren el sistema, encriptant arxius i acabant servicis. En una campanya anterior, el programari de segrest s’executava directament i no s’observava activitat de xarxa, la qual cosa evitava deteccions o bloquejos de xarxa.
Recomanacions
En cas d’haver rebut un correu electrònic com els que es descriuen en este avís, és recomanable eliminar-lo immediatament, sense accedir a l’enllaç ni proporcionar cap dada, i posar-lo en coneixement de la resta de companys i de l’equip de Sistemes per a evitar possibles víctimes.
Si s’ha descarregat l’arxiu, es recomana:
• No descomprimir l’arxiu per cap concepte
• Posar-se en contacte urgentment amb l’equip de CSIRT-CV
Referències
https://www.proofpoint.com/us/blog/threat-insight/security-brief-millions-messages-distribute-lockbit-black-ransomware