Контакты
Подписка 2024
Кибербезопасность
30 июля. Кибербезопасность предприятия: защита инфраструктуры и данных от современных угроз
Регистрируйтесь на онлайн-конференцию!

Испанские вымогатели маскируются под клиентов архитектурных организаций

30/08/23

754944061808218

Национальная полиция Испании предупреждает о продолжающейся вымогательской кампании «LockBit Locker», направленной против архитектурных компаний в стране посредством фишинговых электронных писем. Это передает Securitylab.

«Была обнаружена волна рассылки электронных писем архитектурным компаниям, хотя не исключено, что действия злоумышленников могут распространиться и на другие сектора», — говорится в заявлении полиции.

По данным полиции, обнаруженная кампания отличается высоким уровнем сложности, поскольку жертвы ничего не подозревают, пока их устройства не будут полностью зашифрованы.

Многие письма в зловредной рассылке отправляются от имени несуществующего домена «fotoprix.eu». Злоумышленники притворяются недавно открывшимся фотосалоном и якобы хотят заказать у архитектурной фирмы план реконструкции помещения.

После нескольких писем для установления доверия вымогатели предлагают назначить встречу для обсуждения бюджета и деталей строительного проекта, попутно отправляя архив с документами, который должен содержать точные спецификации для расчётов архитекторов и подготовки плана предстоящей реконструкции.

Этот архив представляет собой дисковый образ формата «.img», который при открытии автоматически монтируется как съёмный диск Windows. Внутри диска содержится папка «fotoprix» с многочисленными Python-скриптами, пакетными и исполняемыми файлами. Там же находится ярлык Windows с названием «Характеристики», запуск которого выполняет вредоносный Python-скрипт.

Анализ специалистов показал, что этот скрипт проверяет, является ли пользователь администратором устройства и, если это так, вносит себя в автозагрузку и запускает вымогатель LockBit для шифрования файлов.

Испанская полиция подчёркивает «высокий уровень изощрённости» этих атак, отмечая последовательность коммуникаций, убеждающих жертв в том, что они взаимодействуют с реальными лицами, искренне заинтересованными в обсуждении деталей архитектурного проекта.

Хотя в записке вымогателей упоминаются связи с известной группировкой LockBit, эксперты полагают, что хакеры просто используют утёкший в конце прошлого года конструктор вредоносов LockBit 3.0, послуживший удобным инструментом для сотен атак, в то время как сама группировка не имеет ничего общего с настоящими хакерами LockBit.

Учитывая изощрённость фишинговых писем и социальной инженерии, вероятно, ответственные злоумышленники уже готовят правдоподобные приманки и для других секторов испанского бизнеса. Но ничто не мешает им расширить географию своих атак на другие страны.

Использование преступниками похожих методов первоначального проникновения крайне тревожно, так как позиционирование себя в качестве законных клиентов может помочь хакерам преодолеть препятствия вроде антифишинговой подготовки целей, надёжно усыпив их бдительность.

Темы:PythonЕвропаПреступленияLockBit
NGFW
24 июля. Отечественные ИT-платформы и ПО для объектов КИИ: готовность предприятий к 01 января 2025
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...