One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8499815 |
| Date de publication | 2024-05-14 20:34:29 (vue: 2024-05-14 21:08:32) |
| Titre | Security Brief: Millions of Messages Distribute LockBit Black Ransomware |
| Texte | ## Instantané En avril 2024, des chercheurs de preuves ont observé des campagnes à volume élevé avec des millions de messages facilités par le botnet Phorpiex et la livraison du ransomware Black Lockbit.Le ransomware en tant que charge utile de première étape attachée aux campagnes de menace par e-mail n'est pas quelque chose que le point de preuve a observé en volumes élevé depuis avant 2020, donc l'observation d'un échantillon noir de verrouillage dans les données de menace par e-mail sur cette échelle globale est très inhabituelle. ## Description L'échantillon Black Lockbit de cette campagne a probablement été construit à partir du constructeur de verrouillage qui a été divulgué au cours de l'été 2023. Les e-mails contenaient un fichier zip joint avec un exécutable (.exe).Cet exécutable a été observé en téléchargeant la charge utile Black Lockbit à partir de l'infrastructure de botnet Phorpiex.Les e-mails ont ciblé les organisations dans plusieurs verticales à travers le monde et semblaient opportunistes par rapport à spécifiquement ciblé.ProofPoint a observé un groupe d'activités utilisant le même alias «Jenny Green» avec des leurres liés à «votre document» livrant des logiciels malveillants Phorpiex dans les campagnes de messagerie depuis au moins janvier 2023. La chaîne d'attaque nécessite l'interaction de l'utilisateur et démarre lorsqu'un utilisateur final exécute l'exécutable compressé dans le fichier zip joint.Lockbit Black (AKA Lockbit 3.0) est une version de Lockbit Ransomware qui a été officiellement publié avec des capacités améliorées par les affiliés des Ransomware en juin 2022. Le Black Builder a donné aux acteurs de la menace accès à un rançon propriétaire et sophistiqué.La combinaison de ceci avec le botnet Phorpiex de longue date amplifie l'ampleur de ces campagnes de menace et augmente les chances d'attaques de ransomwares réussies. ## Analyse Microsoft Lockbit est un Ransomware-As-A-Service (RAAS) proposé géré par un groupe Microsoft Tracks en tant que [Storm-0396] (https://security.microsoft.com/thereatanalytics3/6cd57981-f221-4a99-9e90-103bf58fd6e9/analyStreportreportreportreport) (Dev-0396).Le modèle RAAS fournit des services d'économie cybercriminale aux attaquants qui n'ont pas les compétences nécessaires pour développer une charge utile des ransomwares en échange d'une partie des bénéfices.Le Lockbit Raas a ciblé et impactné des organisations à travers le monde, en restant l'un des meilleurs programmes RAAS, alors que les opérateurs continuent d'affiner et de faciliter les offres de lockbit et d'attirer de nouveaux affiliés. Phorpiex, autrement connu sous le nom de Trik, est un botnet en plusieurs parties.Ce malware a commencé la vie comme un ver connu pour affecter les utilisateurs en se propageant via des lecteurs USB amovibles et via des messages instantanés tels que Skype ou IRC.Dans le sillage du retrait d'Emotet \\, ce botnet diversifié son infrastructure pour devenir plus résilient.Pendant de nombreuses années, Phorpiex a utilisé des machines infectées pour fournir l'extorsion, les logiciels malveillants, le phishing et d'autres contenus par e-mail.Ces e-mails couvrent un ensemble incroyablement important de leurres, de lignes d'objet, de langues et de destinataires en raison de l'échelle des campagnes. ## Détections ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - Trojan: Win32 / Phorpiex- Trojandownloader: Win32 / Phorpiex - ver: win32 / phorpiex - Trojan: Win32 / Lockbit - Ransom: Win32 / Lockbit- Comportement: win32 / lockbit - Comportement: win64 / lockbit ** Microsoft Defender pour le point de terminaison ** Les alertes avec le titre suivant dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - MALWOREAL PHORPIEX - Phorpiex C2 ## Recommandations La mise en |
| Envoyé | Oui |
| Condensat | **microsoft 0396 103bf58fd6e9/analystreport 2020 2022 2023 2024 365 365/security/defender 3c/em 3cem 3eblog#defending 3elearndoc 3eta 4a99 9e90 access accessed accidental across action active activities activity actors addition adopt advanced affecting affiliates against alerts alias all allow also amplifies analysis analyze antivirus antivirus** appeared april are around assure attached attack attacker attackers attacks attract authority automated automation based become before began behavior behavior:win32/lockbit behavior:win64/lockbit black block blog bot botnet breaches brief brief: builder building built bypass campaign campaigns can capabilities capability center chain chances checklist: classes cloud cluster com/defender com/microsoft com/security/blog/2022/05/09/ransomware com/threatanalytics3/6cd57981 com/us/blog/threat combination commands commodity common components compressed configuration contained content continue cover creations credential credentials customers cybercrime cybercriminal data defend defender deliver delivered delivering description detections detects dev develop directory discover distribute diversified document” downloading downstream drives due during early economy effective effectively email emails emotet enable end endpoint endpoint** endpoint/attack endpoint/automated endpoint/configure enhance entire evaluating evolving exchange exe executable executes existing exposure extortion f221 facilitate facilitated file filtering filters first follow following from full further gateways generic gig global globe green” group has have help high highly how https://docs https://learn https://security https://www hygiene identification identify identities identity identity/what immediate impacted implementing important increases incredibly indicate infected infections infrastructure insight/security instant interaction investigation investigations irc issues its january june known languages large lateral leaked least leverages life likely lines loads local lockbit longstanding lsass lures machines mails malware malware: managed management many measures messages messaging microsoft millions misconfigurations mitigated mode model monitor more movement multi multiple network network: new not observation observed ocid=magicti offering offerings officially one operations operators opportunistic opportunistically organizational organizations originating other otherwise part payload phishing phorpiex policy portion potential premises prevent prioritize procedures process profits programs proofpoint proprietary protect protection provided provides pruning psexec raas ransom ransom:win32/lockbit ransomware rapidly recipients recommendations reduce reduction refer reference#block reference#use references refine related released remaining remediate remediation removable requires researchers resilient resolve robust rules same sample scale security service service: services set settings sight signals since skills skype snapshot soc solution something sophisticated spam span specifically spreading stage stage: starts stealing stopping storm strong subject subsystem successful such summer surface suspicious sweeping take takedown tamper targeted techniques these threat threats: through title tools top tracks trik trojan:win32/lockbit trojan:win32/phorpiex trojandownloader:win32/phorpiex turn understanding unknown unusual upgraded usb use used user users using variants version versus verticals volume volumes vulnerabilities vulnerability wake when will windows wmi world worm worm:win32/phorpiex years your yourself yourself/ zip “jenny “your |
| Tags | Ransomware Spam Malware Tool Vulnerability Threat |
| Stories | |
| Notes | ★★★ |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.