​Depuis avril, une nouvelle campagne de ransomware LockBit Black à grande échelle a envoyé des millions d’e-mails de phishing via le botnet Phorpiex.

Comme l’a averti vendredi la Cellule d’intégration de la cybersécurité et des communications du New Jersey (NJCCIC), les attaquants utilisent des pièces jointes ZIP contenant un exécutable qui déploie la charge utile LockBit Black, qui crypte les systèmes des destinataires s’il est lancé.

Le chiffreur LockBit Black déployé dans ces attaques est probablement construit à l’aide du constructeur LockBit 3.0 divulgué par un développeur mécontent sur Twitter en septembre 2022. Cependant, on pense que cette campagne n’a aucune affiliation avec l’opération réelle de ransomware LockBit.

Ces e-mails de phishing avec « votre document » et  » photo de vous??? »les lignes d’objet sont envoyées en utilisant les alias « Jenny Brown » ou « Jenny Green » à partir de plus de 1 500 adresses IP uniques dans le monde entier, notamment au Kazakhstan, en Ouzbékistan, en Iran, en Russie et en Chine.

La chaîne d’attaque commence lorsque le destinataire ouvre la pièce jointe d’archive ZIP malveillante et exécute le binaire à l’intérieur.

Cet exécutable télécharge ensuite un échantillon de ransomware LockBit Black à partir de l’infrastructure du botnet Phorphiex et l’exécute sur le système de la victime. Après son lancement, il tentera de voler des données sensibles, de mettre fin aux services et de crypter les fichiers.

Exemple d’e-mail d’hameçonnage

​La société de cybersécurité Proofpoint, qui enquête sur ces attaques par pulvérisation et prière depuis le 24 avril, a déclaré lundi que les acteurs de la menace ciblaient des entreprises de divers secteurs verticaux du monde entier.

Bien que cette approche ne soit pas nouvelle, le nombre massif d’e-mails envoyés pour livrer les charges utiles malveillantes et les ransomwares utilisés comme charge utile de première étape la distingue même si elle n’a pas la sophistication des autres cyberattaques.

« À partir du 24 avril 2024 et quotidiennement pendant environ une semaine, Proofpoint a observé des campagnes à volume élevé avec des millions de messages facilités par le botnet Phorpiex et délivrant le ransomware LockBit Black », ont déclaré les chercheurs en sécurité de Proofpoint.

«  »C’est la première fois que des chercheurs de Proofpoint observent des échantillons de ransomware LockBit Black (alias Lock Bit 3.0) livrés via Phorphiex dans des volumes aussi importants. »

Note de rançon noire avec embout de verrouillage

Le botnet Phorpiex (également connu sous le nom de Trik) est actif depuis plus d’une décennie. Il est passé d’un ver qui se propageait via un stockage USB amovible et des discussions Skype ou Windows Live Messenger à un cheval de Troie contrôlé par IRC qui utilisait la livraison de spam par courrier électronique.

Alors qu’il atteignait lentement une taille massive, contrôlant plus d’un million d’appareils infectés après des années d’activité et de développement, les opérateurs du botnet ont essayé de vendre le code source du malware sur un forum de piratage après avoir fermé l’infrastructure Phorpiex.

Le botnet Phorpiex a également été utilisé pour diffuser des millions d’e-mails de sextorsion (envoyant plus de 30 000 e-mails par heure) et, plus récemment, a utilisé un module de piratage de presse-papiers pour remplacer les adresses de portefeuille de crypto-monnaie copiées dans le presse-papiers Windows par des adresses contrôlées par des attaquants.

Moins d’un an après l’ajout de la prise en charge de la cryptographie, les opérateurs de Phorpiex ont détourné 969 transactions et volé 3,64 Bitcoin (172 300$), 55,87 Ether (216 000$) et 55 000 tokens de jetons ERC20.

Pour se défendre contre les attaques de phishing qui poussent les ransomwares, NJCCIC recommande de mettre en œuvre des stratégies d’atténuation des risques de ransomware et d’utiliser des solutions de sécurité des terminaux et des solutions de filtrage des e-mails (comme les filtres anti-spam) pour bloquer les messages potentiellement malveillants.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *