Nisan ayından bu yana, büyük ölçekli bir Lockbit Black fidye yazılımı kampanyası yapmak için Phorpiex Botnet aracılığıyla milyonlarca kimlik avı e-postası gönderildi.
New Jersey'nin Siber Güvenlik ve İletişim Entegrasyon Hücresi (NJCCIC) Cuma günü uyarıldığı gibi, saldırganlar, piyasaya sürülürse alıcıların sistemlerini şifreleyen kilitbit siyah yükünü dağıtan bir yürütülebilir dosyayı içeren fermuar ekleri kullanıyor.
Bu saldırılarda konuşlandırılan Lockbit Siyah şifrelemesinin muhtemelen Eylül 2022'de Twitter'da hoşnutsuz bir geliştirici tarafından sızdırılan Lockbit 3.0 inşaatçısı kullanılarak inşa edilmiştir. Ancak, bu kampanyanın gerçek Lockbit fidye işleyişiyle herhangi bir bağlantısı olduğuna inanılmamaktadır.
Bu kimlik avı e -postaları "belgeniz" ve "fotoğrafınız ???" Konu hatları, Kazakistan, Özbekistan, İran, Rusya ve Çin dahil olmak üzere dünya çapında 1.500'den fazla benzersiz IP adresinden "Jenny Brown" veya "Jenny Green" takma adları kullanılarak gönderiliyor.
Saldırı zinciri, alıcı kötü amaçlı fermuar arşivi ekini açtığında ve ikili içi yürüttüğünde başlar.
Bu yürütülebilir ürün daha sonra Phorphiex Botnet'in altyapısından bir Lockbit Black fidye yazılımı örneği indirir ve kurbanın sisteminde yürütür. Başlattıktan sonra hassas verileri çalmaya, hizmetleri sonlandırmaya ve dosyaları şifrelemeye çalışacaktır.
24 Nisan'dan bu yana bu sprey ve perşembe saldırılarını araştıran siber güvenlik şirketi Proofpoint Pazartesi günü yaptığı açıklamada, tehdit aktörlerinin dünya çapında çeşitli endüstri sektörlerindeki şirketleri hedef aldığını söyledi.
Bu yaklaşım yeni olmasa da, birinci aşama yük olarak kullanılan kötü amaçlı yükleri ve fidye yazılımlarını sunmak için gönderilen çok sayıda e-posta, diğer siber saldırıların sofistike olmasına rağmen öne çıkmasını sağlar.
"24 Nisan 2024'ten itibaren ve yaklaşık bir hafta boyunca devam eden Proofpoint, Phorpiex Botnet tarafından kolaylaştırılan milyonlarca mesajla yüksek hacimli kampanyalar gözlemledi ve Lockbit Black fidye yazılımı" dedi.
Diyerek şöyle devam etti: "Bu, Proofpoint araştırmacıları ilk kez Lockbit Black fidye yazılımı örneklerinin (Lockbit 3.0) Phorphiex aracılığıyla bu kadar yüksek hacimlerde verildiğini gözlemlediler."
Phorpiex botnet (Trik olarak da bilinir) on yıldan fazla bir süredir aktiftir. Çıkarılabilir USB depolama ve Skype veya Windows Live Messenger sohbetleri yoluyla yayılan bir solucandan evrimleşti ve e-posta spam teslimatı kullanan IRC kontrollü bir truva atına dönüştü.
Yıllarca süren etkinlik ve geliştirme sonrasında 1 milyondan fazla enfekte cihazı kontrol ederek, Botnet'in operatörleri, Phorpiex altyapısını kapattıktan sonra kötü amaçlı yazılım kodunu bir hack forumunda satmayı denediler.
Phorpiex botnet, milyonlarca sekstüt e-postası (saatte 30.000'den fazla e-postayı spam göndermek) sunmak için de kullanılmıştır ve daha yakın zamanda, Windows panosuna saldırgan kontrollü olanlarla kopyalanan kripto para cüzdanı adreslerini değiştirmek için bir pano korsanı modülü kullanmıştır.
Crypto-Clipping desteği ekledikten sonra bir yıl içinde, Phorpiex'in operatörleri 969 işlemi ele geçirdi ve 3.64 bitcoin (172.300 $), 55.87 eter (216.000 $) ve 55.000 $ değerinde ERC20 tokenini çaldı.
Fidye yazılımı iten kimlik avı saldırılarına karşı savunmak için NJCCIC, fidye yazılım risk azaltma stratejilerinin uygulanmasını ve potansiyel olarak kötü niyetli mesajları engellemek için uç nokta güvenlik çözümleri ve e -posta filtreleme çözümlerini (spam filtreleri gibi) kullanmanızı önerir.
Şarkı Singing River Sağlık Sistemi: Fidye Yazılımı Saldırısında Çalınan 895.000'lik Veriler
Ebury Botnet Kötü Yazılım 2009'dan beri 400.000 Linux sunucusuna enfekte oldu
Hacking forumlarında 300.000 $ karşılığında fidye yazılımı kaynak kodu satış
CISA: Black Basta Ransomware dünya çapında 500'den fazla orgs'i ihlal etti
Ransomware'de Hafta - 10 Mayıs 2024 - Lockbit'te yontulma
Kaynak: Bleeping Computer