میلیونها ایمیل فیشینگ از ماه آوریل ۲۰۲۴، توسط بات نت Phorpiex به منظور اجرای حملات باج افزار LockBit Black در مقیاس بالا ارسال شده است.
مهاجمان از پیوست ZIP حاوی یک فایل اجرایی استفاده میکنند که پیلود LockBit Black را بر روی دستگاه گیرندگان مستقر خواهد کرد. پیلود LockBit Black در صورت راهاندازی و اجرا، سیستم قربانی را رمزگذاری میکند.
متد رمزگذاری LockBit Black احتمالاً توسط سازنده LockBit 3.0 ایجاد شده است. این متد در سپتامبر 2022، از سوی یک توسعه دهنده ناراضی در توئیتر منتشر شد. با این حال، به نظر نمیآید که این حملات وابستگی و ارتباطی با عملیات باج افزار LockBit واقعی داشته باشند.
ایمیلهای فیشینگ با عناوینی چون ” your document ” و ” photo of you???” و با استفاده از نامهای مستعار “جنی براون (Jenny Brown)” یا “جنی گرین (Jenny Green)” از بیش از 1500 آدرس IP منحصر به فرد در سراسر جهان از جمله قزاقستان، ازبکستان، ایران، روسیه و چین ارسال شدهاند.
زنجیره حمله زمانی آغاز میشود که گیرنده پیام، فایل پیوست ZIP مخرب را باز و باینری داخل آن را اجرا میکند. این فایل اجرایی، یک نمونه باج افزار LockBit Black را از زیرساخت بات نت Phorphiex دانلود کرده و آن را در سیستم قربانی اجرا میکند.
باج افزار پس از اجرا، سعی خواهد کرد دادههای حساس را برباید، سرویسهای در حال اجرا را خاتمه دهد و فایلها را رمزگذاری کند.
شرکت امنیت سایبری Proofpoint که از بیست و چهارم آوریل در حال بررسی حملات spray-and-pray بوده است، اذعان داشت که مهاجمان، شرکتهایی را در بخشهای مختلف صنعتی در سراسر جهان مورد هدف قرار دادهاند.
این اولین باری است که محققان Proofpoint نمونههایی از باج افزار LockBit Black (معروف به LockBit 3.0) را مشاهده میکنند که از طریق Phorphiex در چنین حجم بالایی ارسال میشوند. حجم بالای ایمیلهای حاوی پیلودهای مخرب و باجافزار، این رویکرد را علیرغم سادگی آن متمایز کرده است.
بات نت Phorpiex (معروف به Trik) که بیش از یک دهه از فعالیت آن میگذرد، از یک کِرم USB به یک تروجان هرزنامه ایمیل کنترل شده با IRC تکامل یافته است.
Phorpiex که برای ارسال میلیونها ایمیل (بیش از ۳۰،۰۰۰ ایمیل در ساعت) استفاده شده است، اخیراً از یک ماژول رباینده کلیپبورد برای جایگزینی آدرسهای کیف پول ارز دیجیتال با آدرسهای کنترل شده توسط مهاجمان استفاده میکند.
اپراتورهای Phorpiex در عرض یک سال، ۹۶۹ تراکنش ارز دیجیتال را ربودند و 3.64 بیت کوین (172300 دلار)، 55.87 اتر (216000 دلار) و 55000 دلار توکن ERC20 را به سرقت بردند.
حملات باج افزاری همچنان یک تهدید مهم و در حال تحول در حوزه امنیت سایبری به شمار میآیند. افراد و سازمانها میبایست به منظور کاهش خطرات این قبیل حملات، اقدامات امنیت سایبری همچون حفاظت از endpoint و فیلتر ایمیل مانند فیلترهای هرزنامه و فیشینگ را در اولویت قرار دهند.
