Espana Advierte Sobre Ataques De Ransomware Lockbit Locker A Empresas De Arquitectura

España advierte sobre ataques de ransomware «LockBit Locker» a empresas de arquitectura

Ataques dirigidos a empresas de arquitectura

La Policía Nacional de España está alertando sobre una campaña de ransomware «LockBit Locker» que se dirige a empresas de arquitectura en el país a través de correos electrónicos de phishing.

Lockbit Locker Nota

Se ha detectado una oleada de correos electrónicos dirigidos a estas empresas, aunque no se descarta que se extiendan a otros sectores.

Método de ataque sofisticado

La campaña detectada tiene un alto nivel de sofisticación. Las víctimas no sospechan nada hasta que sufren la encriptación de sus terminales.

Tu Tienda De Fotos En España
Tienda Fotoprix

Los correos electrónicos provienen del dominio inexistente «fotoprix.eu» e imitan a una firma fotográfica.

Engaño a través de correos electrónicos

Los actores de la amenaza se hacen pasar por una tienda de fotografía recién inaugurada que solicita un plan de renovación y un presupuesto para el trabajo.

Tras intercambiar varios correos electrónicos para ganarse la confianza, proponen una fecha de reunión para discutir el presupuesto y envían un archivo con documentos sobre las especificaciones exactas de la renovación.

Detalles técnicos del ataque

El archivo es una imagen de disco (.img) que, al abrirse en versiones más recientes de Windows, montará automáticamente el archivo como una letra de unidad. Estos archivos contienen un acceso directo de Windows llamado ‘Caracteristicas’, que al ser lanzado, ejecutará un script malicioso de Python.

Consecuencias del ataque

El script de Python verifica si el usuario es administrador del dispositivo y, de ser así, realiza modificaciones en el sistema para persistencia y luego ejecuta el ransomware «LockBit Locker» para encriptar archivos.

Malicious Python Script

Si el usuario de Windows no es administrador, utilizará el bypass UAC de Fodhelper para lanzar el encriptador de ransomware con privilegios de administrador.

Origen y afiliaciones del ransomware

Aunque la banda de ransomware afirma estar afiliada con la operación de ransomware LockBit, Cibernota cree que esta campaña es llevada a cabo por diferentes actores de amenazas utilizando el constructor de ransomware LockBit 3.0 filtrado.

Recomendaciones finales

Dada la sofisticación reportada de los correos electrónicos de phishing, es probable que los actores de amenazas detrás de esta campaña estén utilizando diferentes señuelos para empresas en otros sectores.

Las bandas de ransomware notorias que adoptan prácticas similares para el compromiso inicial es un desarrollo preocupante. Es esencial estar alerta y seguir las mejores prácticas de seguridad para evitar ser víctima de estos ataques.