Spanien warnt vor LockBit Locker-Ransomware-Phishing-Angriffen

Sep 01, 2023

Die spanische Nationalpolizei warnt vor einer laufenden „LockBit Locker“-Ransomware-Kampagne, die sich über Phishing-E-Mails an Architekturunternehmen im Land richtet.

„Es wurde eine Welle von E-Mail-Versendungen an Architekturunternehmen festgestellt, wobei nicht ausgeschlossen ist, dass diese ihre Aktion auf andere Branchen ausweiten“, heißt es in der maschinell übersetzten Mitteilung der Polizei.

„Die entdeckte Kampagne weist ein sehr hohes Maß an Raffinesse auf, da die Opfer nichts ahnen, bis sie die Verschlüsselung der Terminals erleiden.“

Die spanische Cyberpolizei hat festgestellt, dass viele E-Mails von der nicht existierenden Domain „fotoprix.eu“ gesendet werden und sich als ein Fotounternehmen ausgeben.

Die Bedrohungsakteure geben vor, ein neu eröffnetes Fotogeschäft zu sein, das vom Architekturbüro einen Renovierungs-/Entwicklungsplan für die Räumlichkeiten und einen Kostenvoranschlag für die Arbeiten anfordert.

Nach dem Austausch mehrerer E-Mails zur Vertrauensbildung schlagen die LockBit-Betreiber vor, einen Termin für ein Treffen zu vereinbaren, um das Budget und die Details des Bauprojekts zu besprechen und ein Archiv mit Dokumenten zu den genauen Spezifikationen der Renovierung zu senden.

Während die spanische Politur nicht viele technische Details liefert, handelt es sich bei diesem Archiv in einem von BleepingComputer gesehenen Beispiel um eine Disk-Image-Datei (.img), die beim Öffnen in neueren Windows-Versionen die Datei automatisch als Laufwerksbuchstaben einbindet und anzeigt dessen Inhalt.

Diese Archive enthalten einen Ordner namens „fotoprix“, der zahlreiche Python-Dateien, Batch-Dateien und ausführbare Dateien enthält. Das Archiv enthält außerdem eine Windows-Verknüpfung namens „Caracteristicas“, die beim Start ein bösartiges Python-Skript ausführt.

Die Analyse von BleepingComputer zeigt, dass das ausgeführte Python-Skript prüft, ob der Benutzer ein Administrator des Geräts ist, und wenn ja, Änderungen am System für die Persistenz vornimmt und dann die Ransomware „LockBit Locker“ ausführt, um Dateien zu verschlüsseln.

Wenn der Windows-Benutzer kein Administrator auf dem Gerät ist, verwendet es die Fodhelper-UAC-Umgehung, um den Ransomware-Verschlüsselungscoder mit Administratorrechten zu starten.

Die spanische Polizei unterstreicht den „sehr hohen Grad an Raffinesse“ dieser Angriffe und weist insbesondere auf die Konsistenz der Kommunikation hin, die den Opfern die Gewissheit vermittelt, dass sie mit Personen interagieren, die wirklich daran interessiert sind, Einzelheiten des Architekturprojekts zu besprechen.

Während die Ransomware-Bande behauptet, mit der berüchtigten Ransomware-Operation LockBit in Verbindung zu stehen, geht BleepingComputer davon aus, dass diese Kampagne von verschiedenen Bedrohungsakteuren durchgeführt wird, die den geleakten Ransomware-Builder LockBit 3.0 verwenden.

Der reguläre LockBit-Betrieb verhandelt über eine Tor-Verhandlungsseite, während dieser „LockBit Locker“ per E-Mail an „[email protected]“ oder über die Tox-Messaging-Plattform verhandelt.

Darüber hinaus identifiziert die automatisierte Analyse durch die Scan-Engine von Intezer die ausführbare Ransomware-Datei als BlackMatter, eine Ransomware-Operation, die 2021 eingestellt und später in ALPHV/BlackCat umbenannt wurde.

Dies ist jedoch zu erwarten, da der durchgesickerte LockBit 3.0-Builder, auch bekannt als LockBit Black, von Intezer aufgrund der Verwendung des BlackMatter-Quellcodes auch als BlackMatter identifiziert wird.

Angesichts der angeblichen Raffinesse der Phishing-E-Mails und des Social Engineering, die BleepingComputer festgestellt hat, ist es wahrscheinlich, dass die Bedrohungsakteure hinter dieser Kampagne unterschiedliche Köder für Unternehmen in anderen Branchen nutzen.

Phishing-Akteure haben den „Call-to-Bird“-Köder in Kampagnen ausgiebig genutzt, indem sie sich als Privatunternehmen oder Regierungsbehörden ausgaben und gut gestaltete Dokumente verwendeten, um von der Legitimität ihrer Nachrichten zu überzeugen.

Berüchtigte Ransomware-Banden, die bei der Erstkompromittierung ähnliche Vorgehensweisen anwenden, sind eine besorgniserregende Entwicklung, denn wenn sie sich als legitime Kunden ausgeben, könnten sie Hindernisse wie die Anti-Phishing-Schulung ihrer Opfer überwinden.

Hacking-Kampagne zwingt Cisco-VPNs dazu, in Netzwerke einzudringen

LockBit-Ransomware-Builder von „verärgertem Entwickler“ online durchgesickert

Die Woche in Ransomware – 18. August 2023 – LockBit auf dünnem Eis

Die Woche in Ransomware – 30. Juni 2023 – Falsche Identität

TSMC bestreitet LockBit-Hack, da Ransomware-Bande 70 Millionen US-Dollar verlangt