İspanya Ulusal Polisi, kimlik avı e -postaları aracılığıyla ülkedeki mimarlık şirketlerini hedefleyen bir 'Lockbit Locker' fidye yazılımı kampanyası konusunda uyarıyor.
Makine ile ilişkili polis duyurusunu okur. "Mimarlık şirketlerine e-posta gönderme dalgası tespit edildi, ancak eylemlerini diğer sektörlere genişletmeleri göz ardı edilmiyor."
Diyerek şöyle devam etti: "Tespit edilen kampanya çok yüksek bir sofistike seviyeye sahip, çünkü kurbanlar terminallerin şifrelemesine maruz kalana kadar hiçbir şeyden şüphelenmiyorlar."
İspanya'nın siber polisi, var olmayan "Fotoprix.eu" alanından birçok e-postanın gönderildiğini ve bir fotoğraf firmasını taklit ettiğini tespit etti.
Tehdit oyuncusu, bir tesis yenileme/geliştirme planı ve mimarlık firmasından yapılan çalışma için bir maliyet tahmini isteyen yeni başlatılan bir fotoğraf mağazası gibi davranıyor.
Güven oluşturmak için birkaç e -posta alışverişinde bulunduktan sonra, Lockbit operatörleri bina projesinin bütçesini ve ayrıntılarını tartışmak için bir toplantı tarihi belirtmeyi ve yenilemenin kesin özellikleri hakkında belgeler içeren bir arşiv göndermeyi önerir.
İspanyol cilası çok fazla teknik ayrıntı sağlamasa da, BleepingComputer tarafından görülen bir örnekte, bu arşiv, Windows'un yeni sürümlerinde açıldığında dosyayı otomatik olarak bir sürücü mektubu olarak monte edecek bir disk görüntüsü (.img) dosyasıdır. onun içerikleri.
Bu arşivler, çok sayıda Python dosyası, toplu dosyası ve yürütülebilir ürünler içeren 'Fotoprix' adlı bir klasör içerir. Arşiv ayrıca, başlatıldığında kötü niyetli bir Python betiği yürütecek olan 'Caracteristicas' adlı bir Windows kısayolu içerir.
BleepingComputer'ın analizi, yürütülen Python komut dosyasının, kullanıcının cihazın yöneticisi olup olmadığını kontrol edeceğini ve eğer öyleyse, kalıcılık için sistemde değişiklik yapacağını ve ardından dosyaları şifrelemek için 'Lockbit Locker' fidye yazılımını yürüteceğini gösterir.
Windows kullanıcısı cihazda yönetici değilse, fidye yazılımı şifrelemesini yönetici ayrıcalıklarıyla başlatmak için Fodhelper UAC bypass'ı kullanır.
İspanyol polisi, bu saldırıların "çok yüksek düzeyde karmaşıklığın" altını çiziyor, özellikle de kurbanları mimari proje ayrıntılarını tartışmakla ilgilenen bireylerle etkileşime girdiklerine ikna eden iletişimin tutarlılığını not ediyor.
Fidye yazılımı çetesi kötü şöhretli Lockbit Fidye Yazılımı işlemine bağlı olduğunu iddia ederken, BleepingComputer bu kampanyanın sızdırılmış Lockbit 3.0 fidye yazılımı oluşturucu kullanılarak farklı tehdit aktörleri tarafından gerçekleştirildiğine inanıyor.
Düzenli Lockbit operasyonu bir TOR müzakere sitesi aracılığıyla müzakere ederken, bu 'Lockbit Locker' 'Lockspain@onionmail.org' adresinden veya Tox Mesajlaşma Platformu aracılığıyla e -posta yoluyla müzakere eder.
Ayrıca, Intezer'in tarama motoru tarafından otomatik analiz, fidye yazılımı yürütülebilir dosyasını, 2021'de kapanan ve daha sonra ALPHV/Blackcat olarak yeniden markalaşan bir fidye yazılımı işlemi olan Blackmatter olarak tanımlar.
Bununla birlikte, Lockbit Black olarak da bilinen sızdırılmış Lockbit 3.0 üreticisi, Blackmatter kaynak kodu kullanımı için Blackmatter olarak tanımlanması bekleniyor.
BleepingComputer tarafından görülen kimlik avı e -postalarının ve sosyal mühendisliğin bildirilen sofistike olması göz önüne alındığında, bu kampanyanın arkasındaki tehdit aktörlerinin diğer sektörlerdeki şirketler için farklı yemleri kullanması muhtemeldir.
Kimlik avı aktörleri, özel firmaları veya devlet kurumlarını taklit eden kampanyalarda "teklif verme çağrısı" yemini yoğun bir şekilde kullandılar ve mesajlarının meşruiyetine ikna etmek için iyi hazırlanmış belgeler kullandı.
İlk uzlaşma için benzer uygulamaları benimseyen kötü şöhretli fidye yazılımı çeteleri endişe verici bir gelişmedir, çünkü meşru müşteriler, hedeflerinin anti-akış eğitimi gibi engellerin üstesinden gelmelerine yardımcı olabilir.
Lockbit Ransomware Builder "Angry Geliştirici" tarafından çevrimiçi sızdırıldı
Fidye Yazılımında Hafta - 18 Ağustos 2023 - İnce Buz Üzerinde Kilit Bitti
Ransomware'de Hafta - 30 Haziran 2023 - Yanlış Kimlik
TSMC, fidye yazılımı çetesi 70 milyon dolar talep ederken Lockbit Hack'i reddediyor
Annemin yemekleri 1,2 milyon kişiyi etkileyen veri ihlalini açıklıyor
Kaynak: Bleeping Computer