A través de la botnet Phorpiex, que operaba como malware-as-a-service, se realizaba la exfiltración de datos y la entrega del ‘ransomware’ LockBit Black
Proofpoint ha identificado una serie de campañas maliciosas a gran escala que distribuyen millones de mensajes a través de la botnet Phorpiex. Esta botnet, operando como malware-as-a-service, se dedica a la exfiltración de datos y entrega del ransomware LockBit Black.
Es la primera vez que los expertos en ciberseguridad de Proofpoint observan distribuciones tan masivas de LockBit Black (también conocido como LockBit 3.0) mediante Phorpiex. Las muestras de LockBit Black utilizadas en esta campaña se crearon a partir del builder filtrado en el verano de 2023.
“Aunque la cadena de ataque de esta campaña no era necesariamente compleja en comparación con lo que se ha observado en el panorama de la ciberdelincuencia en lo que va de 2024, el gran volumen de los mensajes y el uso de ransomware como payload de primera etapa es notable. No lo habíamos visto en el panorama del spam malicioso desde antes de 2020 o con las campañas de Emotet”, ha comentado el equipo de investigación de Proofpoint.
¿Cómo se ejecutaba el ataque?
Los correos electrónicos maliciosos incluían un archivo ZIP adjunto con un ejecutable (.exe) que descargaba el payload LockBit Black desde la infraestructura de la botnet Phorpiex. Estos mensajes se enviaban a organizaciones de varios sectores en todo el mundo, sin un objetivo específico.
Para los investigadores de Proofpoint, “esta campaña ha amplificado la escala de estas amenazas y aumenta las posibilidades de éxito de los ataques de ransomware. Supone otro buen ejemplo de cómo sigue cambiando el panorama de las amenazas, en cuanto a las tácticas, técnicas y procedimientos utilizados por los ciberdelincuentes”.
La cadena de ataque necesitaba la interacción del usuario. Si el usuario ejecutaba el archivo adjunto, el ransomware se descargaba y activaba en su sistema, donde mostraba un comportamiento de robo de datos, cifrado de archivos y causando interrupciones en los servicios. En una campaña anterior, el ransomware se ejecutaba directamente sin generar actividad en la red, lo cual evitaba detecciones y bloqueos.
