Чёткая и продуманная кампания социальной инженерии даёт свои плоды — данные десятков фирм зашифрованы.
Национальная полиция Испании Для просмотра ссылки Войдиили Зарегистрируйся о продолжающейся вымогательской кампании «LockBit Locker», направленной против архитектурных компаний в стране посредством фишинговых электронных писем.
«Была обнаружена волна рассылки электронных писем архитектурным компаниям, хотя не исключено, что действия злоумышленников могут распространиться и на другие сектора», — говорится в заявлении полиции.
По данным полиции, обнаруженная кампания отличается высоким уровнем сложности, поскольку жертвы ничего не подозревают, пока их устройства не будут полностью зашифрованы.
Многие письма в зловредной рассылке отправляются от имени несуществующего домена «fotoprix.eu». Злоумышленники притворяются недавно открывшимся фотосалоном и якобы хотят заказать у архитектурной фирмы план реконструкции помещения.
После нескольких писем для установления доверия вымогатели предлагают назначить встречу для обсуждения бюджета и деталей строительного проекта, попутно отправляя архив с документами, который должен содержать точные спецификации для расчётов архитекторов и подготовки плана предстоящей реконструкции.
Этот архив представляет собой дисковый образ формата «.img», который при открытии автоматически монтируется как съёмный диск Windows . Внутри диска содержится папка «fotoprix» с многочисленными Python -скриптами, пакетными и исполняемыми файлами. Там же находится ярлык Windows с названием «Характеристики», запуск которого выполняет вредоносный Python-скрипт.
Анализ специалистов показал, что этот скрипт проверяет, является ли пользователь администратором устройства и, если это так, вносит себя в автозагрузку и запускает вымогатель LockBit для шифрования файлов.
Испанская полиция подчёркивает «высокий уровень изощрённости» этих атак, отмечая последовательность коммуникаций, убеждающих жертв в том, что они взаимодействуют с реальными лицами, искренне заинтересованными в обсуждении деталей архитектурного проекта.
Хотя в записке вымогателей упоминаются связи с известной группировкой LockBit, эксперты полагают, что хакеры просто используют утёкший в конце прошлого года конструктор вредоносов LockBit 3.0, послуживший удобным инструментом Для просмотра ссылки Войдиили Зарегистрируйся , в то время как сама группировка не имеет ничего общего с настоящими хакерами LockBit.
Учитывая изощрённость фишинговых писем и социальной инженерии, вероятно, ответственные злоумышленники уже готовят правдоподобные приманки и для других секторов испанского бизнеса. Но ничто не мешает им расширить географию своих атак на другие страны.
Использование преступниками похожих методов первоначального проникновения крайне тревожно, так как позиционирование себя в качестве законных клиентов может помочь хакерам преодолеть препятствия вроде антифишинговой подготовки целей, надёжно усыпив их бдительность.
Национальная полиция Испании Для просмотра ссылки Войди
«Была обнаружена волна рассылки электронных писем архитектурным компаниям, хотя не исключено, что действия злоумышленников могут распространиться и на другие сектора», — говорится в заявлении полиции.
По данным полиции, обнаруженная кампания отличается высоким уровнем сложности, поскольку жертвы ничего не подозревают, пока их устройства не будут полностью зашифрованы.
Многие письма в зловредной рассылке отправляются от имени несуществующего домена «fotoprix.eu». Злоумышленники притворяются недавно открывшимся фотосалоном и якобы хотят заказать у архитектурной фирмы план реконструкции помещения.
После нескольких писем для установления доверия вымогатели предлагают назначить встречу для обсуждения бюджета и деталей строительного проекта, попутно отправляя архив с документами, который должен содержать точные спецификации для расчётов архитекторов и подготовки плана предстоящей реконструкции.
Этот архив представляет собой дисковый образ формата «.img», который при открытии автоматически монтируется как съёмный диск Windows . Внутри диска содержится папка «fotoprix» с многочисленными Python -скриптами, пакетными и исполняемыми файлами. Там же находится ярлык Windows с названием «Характеристики», запуск которого выполняет вредоносный Python-скрипт.
Анализ специалистов показал, что этот скрипт проверяет, является ли пользователь администратором устройства и, если это так, вносит себя в автозагрузку и запускает вымогатель LockBit для шифрования файлов.
Испанская полиция подчёркивает «высокий уровень изощрённости» этих атак, отмечая последовательность коммуникаций, убеждающих жертв в том, что они взаимодействуют с реальными лицами, искренне заинтересованными в обсуждении деталей архитектурного проекта.
Хотя в записке вымогателей упоминаются связи с известной группировкой LockBit, эксперты полагают, что хакеры просто используют утёкший в конце прошлого года конструктор вредоносов LockBit 3.0, послуживший удобным инструментом Для просмотра ссылки Войди
Учитывая изощрённость фишинговых писем и социальной инженерии, вероятно, ответственные злоумышленники уже готовят правдоподобные приманки и для других секторов испанского бизнеса. Но ничто не мешает им расширить географию своих атак на другие страны.
Использование преступниками похожих методов первоначального проникновения крайне тревожно, так как позиционирование себя в качестве законных клиентов может помочь хакерам преодолеть препятствия вроде антифишинговой подготовки целей, надёжно усыпив их бдительность.
- Источник новости
- www.securitylab.ru