È la prima volta che i ricercatori di Proofpoint osservano campioni di ransomware LockBit Black (alias LockBit 3.0) consegnati tramite Phorpiex in volumi così elevati. Il campione di LockBit Black usato in questa campagna è stato probabilmente costruito a partire dal builder di LockBit, trapelato nell’estate del 2023.
Avvio delle iscrizioni al corso Cyber Offensive Fundamentals
Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica?
La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima.
Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
I messaggi provenivano da “Jenny Green” con l’indirizzo e-mail Jenny@gsd[.]com. Le e-mail contenevano un file ZIP allegato con un eseguibile (.exe). Questo eseguibile è stato osservato effettuare il download del payload di LockBit Black dall’infrastruttura botnet Phorpiex.
Esempio di messaggio da ”Jenny Green.”
Le e-mail prendevano di mira organizzazioni di diversi settori verticali in tutto il mondo e sembravano essere opportunistiche, invece che specificamente mirate. Anche se la catena di attacco di questa campagna non sia necessariamente complessa rispetto a quanto osservato finora nel panorama del cybercrime del 2024, la natura ad alto volume dei messaggi e l’uso del ransomware come payload di primo livello sono degni di nota.
La catena di attacco richiede l’interazione dell’utente e inizia quando questo esegue il file eseguibile compresso nel file ZIP allegato. Il codice binario .exe avvia una chiamata di rete all’infrastruttura botnet Phorpiex.
In caso di successo, LockBit Black viene scaricato ed eseguito sul sistema dell’utente, dove mostra comportamenti in linea con il furto di dati e si impadronisce del sistema, crittografando i file e bloccando i servizi. In una campagna precedente, il ransomware è stato eseguito direttamente e non è stata osservata alcuna attività di rete, impedendo il rilevamento o il blocco della rete.
Esempio di messaggio di ricatto di LockBit Black
Attribuzione
Il Threat Research team di Proofpoint non ha attribuito questa campagna a un attore noto. Phorpiex è una botnet relativamente semplice, progettata per distribuire malware tramite campagne e-mail ad alto volume. Opera come Malware-as-a-Service e ha raccolto un ampio portfolio di clienti tra gli attori delle minacce in oltre un decennio di attività (le versioni precedenti sono state rilevate per la prima volta intorno al 2011). Dal 2018, la botnet è stata osservata condurre attività di esfiltrazione dei dati e consegna di ransomware. Nonostante gli sforzi di interruzione compiuti nel corso degli anni, la botnet persiste.
Proofpoint ha osservato un gruppo di attività che utilizza lo stesso alias “Jenny Green” con esche relative a “Your Document” e consegna di malware Phorpiex in campagne e-mail almeno dal gennaio 2023.
LockBit Black (alias LockBit 3.0) è una versione del ransomware LockBit ufficialmente rilasciata con funzionalità aggiornate dagli affiliati del ransomware nel giugno 2022. Nel settembre 2022, il nome del creatore del ransomware, fino a quel momento riservato, è trapelato via Twitter. All’epoca, più parti ne hanno rivendicato l’attribuzione, ma gli affiliati di LockBit hanno affermato che il nome è stato svelato da uno sviluppatore scontento. La fuga di notizie consente a chiunque di adottare la configurazione per versioni personalizzate.
Perché è importante
Il ransomware come payload di primo livello allegato a campagne di minacce via e-mail non è un fenomeno che Proofpoint ha osservato in volumi elevati da prima del 2020, quindi un campione di LockBit Black nei dati delle minacce via e-mail su questa scala globale è particolarmente insolito. Inoltre, questa campagna è stata degna di nota a causa dell’elevato volume di e-mail , nell’ordine di milioni al giorno, non comunemente osservati. La quantità di messaggi e la cadenza associati alle campagne LockBit Black osservate di recente portano a un volume mai visto dopo le campagne Emotet.
Il creatore di LockBit Black ha fornito agli attori delle minacce accesso a ransomware proprietari e sofisticati. La combinazione con la rete botnet Phorpiex, esistente da tempo, ne amplifica la portata e aumenta le possibilità di successo degli attacchi ransomware. Questa campagna è un ulteriore esempio di come il panorama delle minacce continui a cambiare, in modo ricorrente e significativo, nelle tattiche, tecniche e procedure (TTP) utilizzate dagli attori delle minacce.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Membro e Riferimento del gruppo di Red Hot Cyber Dark Lab, è un ingegnere Informatico specializzato in Cyber Security con una profonda passione per l’Hacking e la tecnologia, attualmente CISO di WURTH Italia, è stato responsabile dei servizi di Cyber Threat Intelligence & Dark Web analysis in IBM, svolge attività di ricerca e docenza su tematiche di Cyber Threat Intelligence presso l’Università del Sannio, come Ph.D, autore di paper scientifici e sviluppo di strumenti a supporto delle attività di cybersecurity. Dirige il Team di CTI "RHC DarkLab"
Aree di competenza:Cyber Threat Intelligence, Ransomware, Sicurezza nazionale, Formazione
Se c’erano ancora dubbi sul fatto che le principali aziende mondiali di intelligenza artificiale fossero d’accordo sulla direzione dell’IA, o sulla velocità con cui dovrebbe arrivarci, questi dubbi sono stati dissipati al World Economic Forum…
Una settimana fa, il CEO di Cursor, Michael Truell, ha annunciato un risultato presumibilmente straordinario. Ha affermato che, utilizzando GPT-5.2, Cursor ha creato un browser in grado di funzionare ininterrottamente per un’intera settimana. Questo browser…
L’Italia si conferma uno degli obiettivi principali della campagna di attacchi DDoS portata avanti dal gruppo hacktivista NoName057(16). Secondo quanto dichiarato direttamente dal collettivo, il nostro Paese ha subito 487 attacchi informatici tra ottobre 2024…
La domanda ritorna ciclicamente da oltre dieci anni: uno smartphone può davvero sostituire un computer? Nel tempo, l’industria ha provato più volte a dare una risposta concreta, senza mai arrivare a una soluzione definitiva. Dai…
Nel mondo della sicurezza circola da anni una convinzione tanto diffusa quanto pericolosa: “se è patchato, è sicuro”. Il caso dell’accesso amministrativo tramite FortiCloud SSO ai dispositivi FortiGate dimostra, ancora una volta, quanto questa affermazione sia non solo incompleta, ma…
