Изменение тактики кибератак: LockBit и Phorpiex в опасной связке

Недавние инциденты, связанные с программой-вымогателем LockBit, продемонстрировали значимое изменение в тактике киберпреступников. Использование ботнета Phorpiex для развертывания и выполнения атак стало ярким примером перехода от традиционного метода, где атаки проводились людьми-операторами. Это новшество поднимает вопросы о будущем киберугроз и адаптивности современных методов атаки.
Phorpiex: долгоживущий ботнет с множеством возможностей
Ботнет Phorpiex, также известный как Trik, имеет долгую историю существования, начиная с 2010 года. Он использовался в самых различных вредоносных действиях, включая:
- спам-кампании;
- майнинг криптовалют;
- распространение вредоносных программ.
Методы работы Phorpiex часто включают распространение фишинговых электронных писем с вредоносными вложениями или ссылками. Чаще всего используются:
- документы Microsoft Word;
- PDF-файлы;
- исполняемые файлы.
Кроме того, хакеры используют взломанные веб-сайты для размещения вредоносных программ, что подчеркивает широкое влияние и адаптивность этого ботнета.
LockBit: угроза срывающей планы атакующей группы
Параллельно с Phorpiex, русскоязычная киберпреступная группа LockBit, появившаяся в 2019 году, завоевала известность благодаря своей значительной роли в атаках программ-вымогателей. На данный момент на ее долю приходится почти 30% всех подобных инцидентов на пике активности.
Несмотря на усилия правоохранительных органов, направленные на ликвидацию группировки в рамках операции Кронос в начале 2024 года, LockBit быстро возобновила свою деятельность. Основные характеристики LockBit включают:
- модель «Программа-вымогатель как услуга» (RaaS);
- возможности быстрого шифрования;
- ориентацию на широкий спектр отраслей;
- практику двойного вымогательства с угрозами утечки данных.
Синергия методов: как Phorpiex и LockBit взаимодействуют
Связь между Phorpiex и LockBit основывается на общих каналах распространения и меняющихся стратегиях атаки. Были зафиксированы случаи, когда Phorpiex использовалась для распространения программ-вымогателей LockBit, что добавляет новый уровень сложности в киберугрозы.
Киберпреступники, стоящие за LockBit, внедрили Phorpiex в свою инфраструктуру, что позволяет:
- ускорить распространение возможностей программ-вымогателей;
- предлагать свои тщательно разработанные инструменты другим киберпреступникам.
Анализ загрузчиков: LockBit, GandCrab и Phorpiex
Среди загрузчиков, замеченных в кампании Phorpiex, достойны внимания LockBit downloader и TWIZT downloader. Поток заражения начинается с фишинговых электронных писем, содержащих ZIP-файлы с именем «document.zip».
Стратегии загрузчиков различаются:
- TWIZT загружает «spl.exe» с сайта twizt.net, сохраняя его как «windrv.exe»;
- LockBit использует SCR-файл под именем «pic0502024.jpg.scr» для загрузки двоичного файла LockBit «lbbb.exe».
Эти загрузчики применяют различные методы обфускации и безопасности, что делает их более трудными для обнаружения и анализа. Например, обфускация кодов, удаление идентификаторов файлов и создание пустых файлов JPEG становятся характерными чертами этих угроз.
Заключение
Смена тактики, наблюдаемая в кибератаках, акцентирует внимание на необходимости обновления методов защиты и повышения уровня готовности кибербезопасности в различных отраслях. Принимая во внимание продолжение угроз от группировки LockBit и использование Phorpiex, организации должны оставаться бдительными и активно адаптироваться к меняющимся условиям киберугроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



