Botnet envia milhões de emails para distribuir ransomware

Da Redação
21/05/2024

Desde 24 de abril, uma botnet chamada Phorpiex andou enviando milhões de mensagens de phishing com a finalidade de distribuir o ransomware LockBit Black, segundo relatório publicado pela Proofpoint. Os e-mails vêm do remetente “Jenny Green”, com o endereço de e-mail “jenny@gsd[.]com”. As mensagens de phishing são breves, simplesmente solicitando aos usuários que abram o documento anexado o mais rápido possível.

A Proofpoint explica: “Os e-mails tinham como alvo organizações em vários setores em todo o mundo e pareciam ser oportunistas em vez de direcionados especificamente. Embora a cadeia de ataque para esta campanha não fosse necessariamente complexa em comparação com o que foi observado no cenário do crime cibernético até agora em 2024, a natureza de alto volume das mensagens e o uso de ransomware como carga útil de primeiro estágio são notáveis…. A cadeia de ataque requer interação do usuário e começa quando um usuário final executa o executável compactado no arquivo ZIP anexado. iniciará uma chamada de rede para a infraestrutura do botnet Phorpiex. Se for bem-sucedido, a amostra LockBit Black será baixada e detonada no sistema do usuário final, onde exibe comportamento de roubo de dados e apreende o sistema, criptografando arquivos e encerrando serviços”.

Veja isso
Agência da ONU investiga ataque de ransomware e roubo de dados
Pagamentos de ransomware caem para 28% no primeiro trimestre

A Proofpoint Threat Research não atribuiu esta campanha a um agente de ameaça conhecido. Phorpiex é um botnet básico projetado para distribuir malware por meio de campanhas de e-mail de alto volume. Ele opera como um Malware como serviço e conquistou um grande portfólio de clientes de agentes de ameaças ao longo de mais de uma década de operação (versões anteriores foram observadas pela primeira vez no cenário de ameaças por volta de 2011). Desde 2018, a botnet tem sido observada realizando atividades de exfiltração de dados e entrega de ransomware. Apesar dos esforços de disrupção ao longo dos anos, a botnet persiste.

A Proofpoint observou um conjunto de atividades usando o mesmo pseudônimo “Jenny Green” com iscas relacionadas a “Seu Documento” entregando malware Phorpiex em campanhas de e-mail desde pelo menos janeiro de 2023.

LockBit Black (também conhecido como LockBit 3.0) é uma versão do ransomware LockBit que foi lançada oficialmente com recursos atualizados pelas afiliadas do ransomware em junho de 2022. Em setembro de 2022, o construtor de ransomware confidencial vazou via Twitter. Na época, várias partes reivindicaram a atribuição, mas as afiliadas da LockBit alegaram que o construtor foi vazado por um desenvolvedor insatisfeito. O vazamento permite que qualquer pessoa adote a configuração para versões customizadas.

Compartilhar: