Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Maison
Jan 02, 2024
L'Espagne met en garde contre les attaques de phishing du ransomware LockBit Locker
La police nationale espagnole met en garde contre une campagne de ransomware « LockBit Locker » en cours ciblant les entreprises d'architecture du pays par le biais d'e-mails de phishing. "Une vague d'envois d'e-mails à
La police nationale espagnole met en garde contre une campagne de ransomware « LockBit Locker » en cours ciblant les entreprises d'architecture du pays par le biais d'e-mails de phishing.
"Une vague d'envois de courriers électroniques à des entreprises d'architecture a été détectée, même s'il n'est pas exclu qu'elles étendent leur action à d'autres secteurs", lit-on dans le communiqué de la police traduit automatiquement.
"La campagne détectée a un très haut niveau de sophistication puisque les victimes ne se doutent de rien jusqu'à ce qu'elles subissent le cryptage des terminaux."
La cyberpolice espagnole a détecté que de nombreux e-mails proviennent du domaine inexistant "fotoprix.eu" et usurpent l'identité d'une entreprise de photographie.
Les acteurs de la menace se font passer pour un magasin de photographie récemment lancé et demandent au cabinet d'architecture un plan de rénovation/développement des installations et une estimation des coûts pour les travaux.
Après avoir échangé plusieurs emails pour instaurer la confiance, les opérateurs de LockBit proposent de fixer une date de réunion pour discuter du budget et des détails du projet de construction et d'envoyer une archive avec des documents sur les spécifications exactes de la rénovation.
Bien que la version espagnole ne fournisse pas beaucoup de détails techniques, dans un échantillon vu par BleepingComputer, cette archive est un fichier d'image disque (.img) qui, lorsqu'il est ouvert dans des versions plus récentes de Windows, montera automatiquement le fichier en tant que lettre de lecteur et affichera son contenu.
Ces archives contiennent un dossier nommé « fotoprix » qui comprend de nombreux fichiers Python, fichiers batch et exécutables. L'archive contient également un raccourci Windows nommé « Caractéristiques » qui, une fois lancé, exécutera un script Python malveillant.
L'analyse de BleepingComputer montre que le script Python exécuté vérifiera si l'utilisateur est un administrateur de l'appareil et, si tel est le cas, apportera des modifications au système pour la persistance, puis exécutera le ransomware « LockBit Locker » pour crypter les fichiers.
Si l'utilisateur Windows n'est pas un administrateur sur l'appareil, il utilisera le contournement Fodhelper UAC pour lancer le chiffreur du ransomware avec des privilèges d'administrateur.
La police espagnole souligne le "très haut niveau de sophistication" de ces attaques, notant notamment la cohérence des communications qui convainquent les victimes qu'elles interagissent avec des individus véritablement intéressés à discuter des détails du projet architectural.
Alors que le gang des ransomwares prétend être affilié à la célèbre opération de ransomware LockBit, BleepingComputer pense que cette campagne est menée par différents acteurs malveillants utilisant le constructeur de ransomware LockBit 3.0 divulgué.
L'opération LockBit régulière négocie via un site de négociation Tor, tandis que ce « LockBit Locker » négocie par e-mail à « [email protected] » ou via la plateforme de messagerie Tox.
De plus, l'analyse automatisée du moteur d'analyse d'Intezer identifie l'exécutable du ransomware comme étant BlackMatter, une opération de ransomware qui s'est arrêtée en 2021 et a ensuite été rebaptisée ALPHV/BlackCat.
Cependant, cela est attendu, car le constructeur LockBit 3.0 divulgué, également connu sous le nom de LockBit Black, est également identifié par Intezer comme BlackMatter pour son utilisation du code source de BlackMatter.
Compte tenu de la sophistication signalée des courriels de phishing et de l'ingénierie sociale observée par BleepingComputer, il est probable que les auteurs de la menace à l'origine de cette campagne utilisent différents leurres pour les entreprises d'autres secteurs.
Les acteurs du phishing ont largement utilisé l'appât des « appels d'offres » dans des campagnes se faisant passer pour des entreprises privées ou des agences gouvernementales et utilisant des documents bien conçus pour convaincre de la légitimité de leurs messages.
Le fait que des gangs de ransomwares notoires adoptent des pratiques similaires pour une compromission initiale est une évolution inquiétante, car se faire passer pour des clients légitimes pourrait les aider à surmonter des obstacles tels que la formation anti-hameçonnage de leurs cibles.
Une campagne de piratage force les VPN Cisco à pénétrer dans les réseaux
Le constructeur du ransomware LockBit divulgué en ligne par un « développeur en colère »
La semaine des ransomwares - 18 août 2023 - LockBit on Thin Ice