Español
English
Français
Deutsch
Italiano
Português
日本語
한국어
Русский
Hogar
Jan 02, 2024
España alerta sobre ataques de phishing del ransomware LockBit Locker
La Policía Nacional de España advierte de una campaña de ransomware en curso 'LockBit Locker' dirigida a empresas de arquitectura del país a través de correos electrónicos de phishing. "Una ola de envío de correos electrónicos a
La Policía Nacional de España advierte de una campaña de ransomware en curso 'LockBit Locker' dirigida a empresas de arquitectura del país a través de correos electrónicos de phishing.
"Se ha detectado una ola de envío de correos electrónicos a empresas de arquitectura, aunque no se descarta que extiendan su acción a otros sectores", se lee en el comunicado policial traducido automáticamente.
"La campaña detectada tiene un nivel de sofisticación muy alto ya que las víctimas no sospechan nada hasta que sufren la encriptación de los terminales."
La ciberpolicía española ha detectado que muchos correos electrónicos se envían desde el inexistente dominio "fotoprix.eu" y se hacen pasar por una empresa fotográfica.
Los actores de la amenaza se hacen pasar por una tienda de fotografía recién inaugurada y solicitan a la empresa de arquitectura un plan de renovación/desarrollo de las instalaciones y una estimación de los costes del trabajo.
Después de intercambiar varios correos electrónicos para generar confianza, los operadores de LockBit proponen fijar una fecha de reunión para discutir el presupuesto y los detalles del proyecto de construcción y enviar un archivo con documentos sobre las especificaciones exactas de la renovación.
Si bien el polaco en español no proporciona muchos detalles técnicos, en una muestra vista por BleepingComputer, este archivo es un archivo de imagen de disco (.img) que, cuando se abre en versiones más recientes de Windows, montará automáticamente el archivo como una letra de unidad y mostrará su contenido.
Estos archivos contienen una carpeta llamada 'fotoprix' que incluye numerosos archivos Python, archivos por lotes y ejecutables. El archivo también contiene un acceso directo de Windows llamado 'Características' que, cuando se inicia, ejecutará un script Python malicioso.
El análisis de BleepingComputer muestra que el script Python ejecutado verificará si el usuario es un administrador del dispositivo y, de ser así, realizará modificaciones en el sistema para lograr persistencia y luego ejecutará el ransomware 'LockBit Locker' para cifrar archivos.
Si el usuario de Windows no es administrador del dispositivo, utilizará la omisión de Fodhelper UAC para iniciar el cifrador de ransomware con privilegios de administrador.
La policía española subraya el "muy alto nivel de sofisticación" de estos ataques, destacando particularmente la coherencia de las comunicaciones que convencen a las víctimas de que interactúan con personas genuinamente interesadas en discutir los detalles del proyecto arquitectónico.
Si bien la banda de ransomware afirma estar afiliada a la notoria operación de ransomware LockBit, BleepingComputer cree que esta campaña la llevan a cabo diferentes actores de amenazas que utilizan el creador de ransomware LockBit 3.0 filtrado.
La operación normal de LockBit negocia a través de un sitio de negociación Tor, mientras que este 'LockBit Locker' negocia por correo electrónico a '[email protected]' o mediante la plataforma de mensajería Tox.
Además, el análisis automatizado realizado por el motor de escaneo de Intezer identifica el ejecutable del ransomware como BlackMatter, una operación de ransomware que se cerró en 2021 y luego se renombró como ALPHV/BlackCat.
Sin embargo, esto es de esperar, ya que Intezer también identifica el constructor LockBit 3.0 filtrado, también conocido como LockBit Black, como BlackMatter por su uso del código fuente de BlackMatter.
Dada la sofisticación informada de los correos electrónicos de phishing y la ingeniería social vistos por BleepingComputer, es probable que los actores de amenazas detrás de esta campaña estén utilizando diferentes señuelos para empresas de otros sectores.
Los actores de phishing han utilizado ampliamente el cebo de "llamado a licitación" en campañas haciéndose pasar por empresas privadas o agencias gubernamentales y utilizando documentos bien elaborados para convencer de la legitimidad de sus mensajes.
Es preocupante que bandas de ransomware notorias adopten prácticas similares para el compromiso inicial, ya que hacerse pasar por clientes legítimos podría ayudarlos a superar obstáculos como la capacitación antiphishing de sus objetivos.
La campaña de piratería obliga a las VPN de Cisco a violar las redes
El creador de ransomware LockBit se filtró en línea por un "desarrollador enojado"
La semana del ransomware: 18 de agosto de 2023 - LockBit on Thin Ice
La semana del ransomware - 30 de junio de 2023 - Identidad equivocada
TSMC niega el hackeo de LockBit mientras una banda de ransomware exige 70 millones de dólares
Contenido del archivo IMGScript Python maliciosoNota de rescate de LockBit Locker