Gli esperti di Proofpoint hanno rilevato una massiccia campagna di phishing a partire dalla fine di aprile. La fonte è Phorpiex, una botnet molto utilizzata per eseguire vari tipi di attacchi. In questo caso sono state inviate milioni di email per distribuire il famigerato ransomware LockBit 3.0, noto anche come LockBit Black.
Attacco ransomware tramite botnet
I ricercatori di Proofpoint hanno scoperto che la versione del tool per cifrare i file è stata ottenuta con il LockBit Builder, pubblicato online a settembre 2022 da uno sviluppatore appartenente al noto gruppo di cybercriminali. L’attuale campagna non è tuttavia gestita dalla famigerata gang (il vero nome del leader è stato recentemente svelato dalle forze dell’ordine).
La catena di infezione inizia con l’invio massiccio di email tramite la botnet Phorpiex. Il messaggio invita l’utente ad aprire l’allegato (un archivio ZIP), in quanto contiene un documento importante. In realtà è presente un eseguibile che, quando avviato, scarica il ransomware dalla botnet.
LockBit Black inizia quindi a raccogliere numerose informazioni dal computer dell’ignara vittima, termina i servizi e cifra i file. Al termine viene copiato il file di testo con le istruzioni da seguire per contattare i cybercriminali tramite messaggistica Tox.
Se viene pagato il riscatto, l’utente riceverà (forse) il decryptor per ripristinare i file, altrimenti i dati verranno pubblicati online e venduti al miglior offerente nel dark web (doppia estorsione).
Ti potrebbe interessare
14 mag 2024