Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Регистрируйтесь и участвуйте в онлайн-конференции!

Испанские вымогатели маскируются под клиентов архитектурных организаций

30/08/23

754944061808218

Национальная полиция Испании предупреждает о продолжающейся вымогательской кампании «LockBit Locker», направленной против архитектурных компаний в стране посредством фишинговых электронных писем. Это передает Securitylab.

«Была обнаружена волна рассылки электронных писем архитектурным компаниям, хотя не исключено, что действия злоумышленников могут распространиться и на другие сектора», — говорится в заявлении полиции.

По данным полиции, обнаруженная кампания отличается высоким уровнем сложности, поскольку жертвы ничего не подозревают, пока их устройства не будут полностью зашифрованы.

Многие письма в зловредной рассылке отправляются от имени несуществующего домена «fotoprix.eu». Злоумышленники притворяются недавно открывшимся фотосалоном и якобы хотят заказать у архитектурной фирмы план реконструкции помещения.

После нескольких писем для установления доверия вымогатели предлагают назначить встречу для обсуждения бюджета и деталей строительного проекта, попутно отправляя архив с документами, который должен содержать точные спецификации для расчётов архитекторов и подготовки плана предстоящей реконструкции.

Этот архив представляет собой дисковый образ формата «.img», который при открытии автоматически монтируется как съёмный диск Windows. Внутри диска содержится папка «fotoprix» с многочисленными Python-скриптами, пакетными и исполняемыми файлами. Там же находится ярлык Windows с названием «Характеристики», запуск которого выполняет вредоносный Python-скрипт.

Анализ специалистов показал, что этот скрипт проверяет, является ли пользователь администратором устройства и, если это так, вносит себя в автозагрузку и запускает вымогатель LockBit для шифрования файлов.

Испанская полиция подчёркивает «высокий уровень изощрённости» этих атак, отмечая последовательность коммуникаций, убеждающих жертв в том, что они взаимодействуют с реальными лицами, искренне заинтересованными в обсуждении деталей архитектурного проекта.

Хотя в записке вымогателей упоминаются связи с известной группировкой LockBit, эксперты полагают, что хакеры просто используют утёкший в конце прошлого года конструктор вредоносов LockBit 3.0, послуживший удобным инструментом для сотен атак, в то время как сама группировка не имеет ничего общего с настоящими хакерами LockBit.

Учитывая изощрённость фишинговых писем и социальной инженерии, вероятно, ответственные злоумышленники уже готовят правдоподобные приманки и для других секторов испанского бизнеса. Но ничто не мешает им расширить географию своих атак на другие страны.

Использование преступниками похожих методов первоначального проникновения крайне тревожно, так как позиционирование себя в качестве законных клиентов может помочь хакерам преодолеть препятствия вроде антифишинговой подготовки целей, надёжно усыпив их бдительность.

Темы:PythonЕвропаПреступленияLockBit
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Регистрируйтесь и участвуйте!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...