Ataques dirigidos a empresas de arquitectura
La Policía Nacional de España está alertando sobre una campaña de ransomware «LockBit Locker» que se dirige a empresas de arquitectura en el país a través de correos electrónicos de phishing.
Se ha detectado una oleada de correos electrónicos dirigidos a estas empresas, aunque no se descarta que se extiendan a otros sectores.
Método de ataque sofisticado
La campaña detectada tiene un alto nivel de sofisticación. Las víctimas no sospechan nada hasta que sufren la encriptación de sus terminales.
Los correos electrónicos provienen del dominio inexistente «fotoprix.eu» e imitan a una firma fotográfica.
Engaño a través de correos electrónicos
Los actores de la amenaza se hacen pasar por una tienda de fotografía recién inaugurada que solicita un plan de renovación y un presupuesto para el trabajo.
Tras intercambiar varios correos electrónicos para ganarse la confianza, proponen una fecha de reunión para discutir el presupuesto y envían un archivo con documentos sobre las especificaciones exactas de la renovación.
Detalles técnicos del ataque
El archivo es una imagen de disco (.img) que, al abrirse en versiones más recientes de Windows, montará automáticamente el archivo como una letra de unidad. Estos archivos contienen un acceso directo de Windows llamado ‘Caracteristicas’, que al ser lanzado, ejecutará un script malicioso de Python.
Consecuencias del ataque
El script de Python verifica si el usuario es administrador del dispositivo y, de ser así, realiza modificaciones en el sistema para persistencia y luego ejecuta el ransomware «LockBit Locker» para encriptar archivos.
Si el usuario de Windows no es administrador, utilizará el bypass UAC de Fodhelper para lanzar el encriptador de ransomware con privilegios de administrador.
Origen y afiliaciones del ransomware
Aunque la banda de ransomware afirma estar afiliada con la operación de ransomware LockBit, Cibernota cree que esta campaña es llevada a cabo por diferentes actores de amenazas utilizando el constructor de ransomware LockBit 3.0 filtrado.
Recomendaciones finales
Dada la sofisticación reportada de los correos electrónicos de phishing, es probable que los actores de amenazas detrás de esta campaña estén utilizando diferentes señuelos para empresas en otros sectores.
Las bandas de ransomware notorias que adoptan prácticas similares para el compromiso inicial es un desarrollo preocupante. Es esencial estar alerta y seguir las mejores prácticas de seguridad para evitar ser víctima de estos ataques.
