В апреле 2024 года исследователи Proofpoint заметили масштабные кампании с миллионами сообщений, которые проводились ботнетом Phorpiex и доставляли вымогательское ПО LockBit Black. Ransomware в качестве полезной нагрузки первого этапа, прикрепленной к кампаниям по рассылке угроз по электронной почте, - это не то, что Proofpoint наблюдала в больших объемах до 2020 года, поэтому обнаружение образца LockBit Black в данных об угрозах по электронной почте в таком глобальном масштабе является крайне необычным.
Образец LockBit Black из этой кампании, вероятно, был создан на основе конструктора LockBit, утечка которого произошла летом 2023 года. Письма содержали прикрепленный ZIP-файл с исполняемым файлом (.exe). Этот исполняемый файл загружал полезную нагрузку LockBit Black из инфраструктуры ботнета Phorpiex. Письма были направлены на организации различных вертикалей по всему миру и, по-видимому, были оппортунистическими, а не целенаправленными. Компания Proofpoint обнаружила группу атак с использованием одного и того же псевдонима «Дженни Грин» с приманками, связанными с «Вашим документом», которые доставляли вредоносное ПО Phorpiex в почтовых кампаниях, начиная как минимум с января 2023 года.
Цепочка атак требует взаимодействия с пользователем и начинается, когда конечный пользователь выполняет сжатый исполняемый файл в приложенном ZIP-файле. LockBit Black (также известный как LockBit 3.0) - это версия вымогательского ПО LockBit, официально выпущенная с обновленными возможностями в июне 2022 года. Конструктор LockBit Black предоставил злоумышленникам доступ к собственному и сложному вымогательскому ПО. Сочетание этого с давно существующим ботнетом Phorpiex усиливает масштаб подобных кампаний и повышает шансы на успех атак с использованием вымогательского ПО.
Indicators of Compromise
IPv4
- 185.215.113.66
- 193.233.132.177
Emails
SHA256
- 01cd4320fa28bc47325ccbbce573ed5c5356008ab0dd1f450017e042cb631239
- 062683257386c9e41a1cd1493f029d817445c37f7c65386d54122fa466419ce1
- 0cc54ffd005b4d3d048e72f6d66bcc1ac5a7a511ab9ecf59dc1d2ece72c69e85
- 13916d6b1fddb42f3146b641d37f3a69b491f183146e310aa972dd469e3417bf
- 1ecea8b0bc92378bf2bdd1c14ae1628c573569419b91cc34504d2c3f8bb9f8b2
- 263a597dc2155f65423edcee57ac56eb7229bdf56109915f7cb52c8120d03efb
- 6de82310a1fa8ad70d37304df3002d25552db7c2e077331bf468dc32b01ac133
- 7bf7dfc7534aec7b5ca71d147205d2b8a3ce113e5254bb342d9f9b69828cf8ee
- 86e17aa882c690ede284f3e445439dfe589d8f36e31cbc09d102305499d5c498
- 874d3f892c299a623746d6b0669298375af4bd0ea02f52ac424c579e57ab48fd
- a18a6bacc0d8b1dd4544cdf1e178a98a36b575b5be8b307c27c65455b1307616
- ddbc4908272a1d0f339b58627a6795a7daff257470741474cc9203b9a9a56cd6
- dec445c2434579d456ac0ae1468a60f1bad9f5de6c72b88e52c28f88e6a4f6d0
- f2198deecddd5ae56620b594b6b20bf8a20f9c983d4c60144bc6007a53087ce4
