Proofpoint ha detectado unas campañas maliciosas de gran volumen, con millones de mensajes facilitados por la botnet Phorpiex, que opera como un malware-as-a-service realizando actividades de exfiltración de datos y entregando el ransomware LockBit Black. Es la primera vez que los investigadores de la compañía de ciberseguridad y cumplimiento normativo observan muestras del ransomware LockBit Black (también conocido como LockBit 3.0) distribuidas a través de Phorpiex en cantidades tan elevadas. La muestra de LockBit Black de esta campaña se creó probablemente a partir del builder de LockBit que se filtró durante el verano de 2023.
Los correos contenían un archivo ZIP adjunto con un ejecutable (.exe) que descargaba la payload LockBit Black de la infraestructura de la red de bots Phorpiex. Se enviaban a organizaciones de múltiples sectores en todo el mundo de manera oportunista en lugar de dirigirse específicamente a un objetivo.
La cadena de ataque requería interacción humana y, si funcionaba, la muestra de LockBit Black se descargaba y detonaba en el sistema del usuario final, donde mostraba un comportamiento de robo de datos y se apoderaba del sistema, cifrando los archivos e interrumpiendo los servicios. En una campaña anterior, el ransomware se ejecutaba directamente y no se observaba actividad en la red, lo que evitaba detecciones o bloqueos en la red.
“Aunque la cadena de ataque de esta campaña no era necesariamente compleja en comparación con lo que se ha observado en el panorama de la ciberdelincuencia en lo que va de 2024, el gran volumen de los mensajes y el uso de ransomware como payload de primera etapa es notable. No lo habíamos visto en el panorama del spam malicioso desde antes de 2020 o con las campañas de Emotet”, comenta el equipo de investigación de Proofpoint.
LockBit Black es una versión del ransomware LockBit lanzada oficialmente con capacidades mejoradas en junio de 2022. En septiembre de ese año, el builder confidencial de este ransomware se filtró a través de Twitter, lo cual permite a cualquiera tener acceso a un ransomware sofisticado y adoptar esta misma configuración para versiones personalizadas.
Para los investigadores de Proofpoint, “esta campaña ha amplificado la escala de estas amenazas y aumenta las posibilidades de éxito de los ataques de ransomware. Supone otro buen ejemplo de cómo sigue cambiando el panorama de las amenazas, en cuanto a las tácticas, técnicas y procedimientos utilizados por los ciberdelincuentes”.
Descubre más desde Revista Ciberseguridad
Suscríbete y recibe las últimas entradas en tu correo electrónico.
