One Article Review
| Source |  ProofPoint |
|---|---|
| Identifiant | 8498980 |
| Date de publication | 2024-05-13 07:18:13 (vue: 2024-05-13 16:07:28) |
| Titre | Mémoire de sécurité: des millions de messages distribuent un ransomware noir Lockbit Security Brief: Millions of Messages Distribute LockBit Black Ransomware |
| Texte | Que s'est-il passé & nbsp; À partir du 24 avril 2024 et en continuant quotidiennement pendant environ une semaine, Proofpoint a observé des campagnes à volume élevé avec des millions de messages facilités par le botnet Phorpiex et la livraison de ransomware Black Lockbit.C'est la première fois que des chercheurs ont observé des échantillons de ransomwares noirs Lockbit (AKA Lockbit 3.0) livrés via Phorphiex dans des volumes aussi élevés.L'échantillon Black Lockbit de cette campagne a probablement été construit à partir du constructeur de lockbit qui a été divulgué au cours de l'été 2023. & nbsp; & nbsp; Les messages provenaient de «Jenny Green» avec l'adresse e-mail de Jenny @ GSD [.] Com.Les e-mails contenaient un fichier zip joint avec un exécutable (.exe).Cet exécutable a été observé en téléchargeant la charge utile Black Lockbit à partir de l'infrastructure de botnet Phorpiex.& nbsp; De: «Jenny Green» Jenny @ gsd [.] Com & nbsp; Sujet: Votre document et NBSP; Pièce jointe: document.zip & nbsp; Exemple de message de «Jenny Green». & Nbsp; Les e-mails ont ciblé les organisations dans plusieurs verticales à travers le monde et semblaient opportunistes par rapport à spécifiquement ciblé.Bien que la chaîne d'attaque de cette campagne n'était pas nécessairement complexe par rapport à ce qui a été observé sur le paysage de la cybercriminalité jusqu'à présent en 2024, la nature à volume élevé des messages et l'utilisation du ransomware comme charge utile de première étape sont notables.& nbsp; La chaîne d'attaque nécessite l'interaction de l'utilisateur et démarre lorsqu'un utilisateur final exécute l'exécutable compressé dans le fichier zip joint.Le binaire .exe initiera un appel de réseau à l'infrastructure de botnet Phorphiex.En cas de succès, l'échantillon Black Lockbit est téléchargé et fait exploser sur le système final de l'utilisateur \\ où il présente un comportement de vol de données et saisit le système, cryptant des fichiers et terminant les services.Dans une campagne antérieure, le ransomware a été directement exécuté et aucune activité de réseau n'a été observée, empêchant les détections ou les blocs de réseau. & NBSP; Note de rançon de l'échantillon noir Lockbit. & Nbsp; Attribution et NBSP; La recherche sur les menaces de preuves n'a pas attribué cette campagne à un acteur de menace connu.Phorpiex est un botnet de base conçu pour offrir des logiciels malveillants via des campagnes d'email à haut volume.Il fonctionne comme un logiciel malveillant en tant que service et a recueilli un grand portefeuille de clients d'acteurs de menace plus d'une décennie de fonctionnement (des versions antérieures ont été observées pour la première fois dans le paysage des menaces vers 2011).Depuis 2018, le botnet a été observé pour effectuer des activités d'exfiltration de données et de livraison de ransomwares.Malgré les efforts de perturbation au fil des ans, le botnet persiste. & Nbsp; & nbsp; ProofPoint a observé un groupe d'activités utilisant le même alias «Jenny Green» avec des leurres liés à «votre document» livrant des logiciels malveillants Phorpiex dans les campagnes de messagerie depuis au moins janvier 2023. & nbsp; & nbsp; Lockbit Black (AKA Lockbit 3.0) est une version de Lockbit Ransomware qui a été officiellement publié avec des capacités améliorées par les affiliés des ransomwares en juin 2022. En septembre 2022, le constructeur de ransomware confidentiel a été divulgué via Twitter.À l'époque, plusieurs parties ont revendiqué l'attribution, mais les affiliés de Lockbit ont affirmé que le constructeur avait été divulgué par un développeur mécontent.La fuite permet à quiconque d'adopter la configuration des versions personnalisées. & Nbsp; & nbsp; Pourquoi c'est important et NBSP; Le ransomware en tant que charge utile de première étape attachée aux campagnes de menace par e-mail n'est pas quelque chose que le point de preuve a observé en volumes élevé de |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | 01cd4320fa28bc47325ccbbce573ed5c5356008ab0dd1f450017e042cb631239 062683257386c9e41a1cd1493f029d817445c37f7c65386d54122fa466419ce1 0cc54ffd005b4d3d048e72f6d66bcc1ac5a7a511ab9ecf59dc1d2ece72c69e85 113 132 13916d6b1fddb42f3146b641d37f3a69b491f183146e310aa972dd469e3417bf 177 185 193 1ecea8b0bc92378bf2bdd1c14ae1628c573569419b91cc34504d2c3f8bb9f8b2 2011 2016141 2018 2020 2022 2022050 2022051 2023 2024 2024 2024 215 233 24 25 26 263a597dc2155f65423edcee57ac56eb7229bdf56109915f7cb52c8120d03efb 2848295 2853272 29 66 6de82310a1fa8ad70d37304df3002d25552db7c2e077331bf468dc32b01ac133 7bf7dfc7534aec7b5ca71d147205d2b8a3ce113e5254bb342d9f9b69828cf8ee 86e17aa882c690ede284f3e445439dfe589d8f36e31cbc09d102305499d5c498 874d3f892c299a623746d6b0669298375af4bd0ea02f52ac424c579e57ab48fd sha256 a18a6bacc0d8b1dd4544cdf1e178a98a36b575b5be8b307c27c65455b1307616 about access across activities activity actor actors additionally address address adopt affiliates alias allows amplifies another anyone appeared april are associated attached attachment: attack attacks attributed attribution attribution basic been before beginning behavior being binary black blocks bot botnet brief: brown builder built but cadence callout campaign campaigns capabilities chain chances change circa claimed cluster cnc com com combination commonly comparison complex compressed compromise conducting confidential configuration contained continues continuing customers customized cybercrime daily data day ddbc4908272a1d0f339b58627a6795a7daff257470741474cc9203b9a9a56cd6 dec445c2434579d456ac0ae1468a60f1bad9f5de6c72b88e52c28f88e6a4f6d0 decade deliver delivered delivering delivery description designed despite detections detonated developer directly disgruntled disruption distribute doc document document document” dotted download downloaded downloading due during earlier efforts email emails emerging emotet encrypting end etpro evil example exe exe executable executed executes exfiltration exhibits f2198deecddd5ae56620b594b6b20bf8a20f9c983d4c60144bc6007a53087ce4 facilitated far file files first from from: garnered global globe good green green” happened has have high highly host how inbound increases indicator indicators info infrastructure initiate interaction ip january jenny jenny@gsd jpg june known landscape large lbb leak leaked least likely lockbit longstanding lures m1 m2 m3 malspam malware matters message messages millions more msxmlhttp multiple nature necessarily network not notable note number observation observed officially operates operation opportunistic organizations over particularly parties payload per persists phorphiex phorpiex photo pic0502024 pivots portfolio preventing procedures proofpoint proprietary provided quad ransom ransomware recently recurring related released requires research researchers same sample samples scale scr security seen seen seizes sender september service services sha256 shifts signatures significant since something sophisticated specifically stage starts subject subject: successful such summer system tactics targeted techniques terminating than theft threat throughout time ttps twitter underscored unusual upgraded use used user using version versions versus verticals volume volumes week what when where why will win32/phorpiex years your zip zip “jenny “your ” ”jenny |
| Tags | Ransomware Malware Threat |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.