Изменение тактики кибератак: LockBit и Phorpiex в опасной связке

Изменение тактики кибератак: LockBit и Phorpiex в опасной связке

Недавние инциденты, связанные с программой-вымогателем LockBit, продемонстрировали значимое изменение в тактике киберпреступников. Использование ботнета Phorpiex для развертывания и выполнения атак стало ярким примером перехода от традиционного метода, где атаки проводились людьми-операторами. Это новшество поднимает вопросы о будущем киберугроз и адаптивности современных методов атаки.

Phorpiex: долгоживущий ботнет с множеством возможностей

Ботнет Phorpiex, также известный как Trik, имеет долгую историю существования, начиная с 2010 года. Он использовался в самых различных вредоносных действиях, включая:

  • спам-кампании;
  • майнинг криптовалют;
  • распространение вредоносных программ.

Методы работы Phorpiex часто включают распространение фишинговых электронных писем с вредоносными вложениями или ссылками. Чаще всего используются:

  • документы Microsoft Word;
  • PDF-файлы;
  • исполняемые файлы.

Кроме того, хакеры используют взломанные веб-сайты для размещения вредоносных программ, что подчеркивает широкое влияние и адаптивность этого ботнета.

LockBit: угроза срывающей планы атакующей группы

Параллельно с Phorpiex, русскоязычная киберпреступная группа LockBit, появившаяся в 2019 году, завоевала известность благодаря своей значительной роли в атаках программ-вымогателей. На данный момент на ее долю приходится почти 30% всех подобных инцидентов на пике активности.

Несмотря на усилия правоохранительных органов, направленные на ликвидацию группировки в рамках операции Кронос в начале 2024 года, LockBit быстро возобновила свою деятельность. Основные характеристики LockBit включают:

  • модель «Программа-вымогатель как услуга» (RaaS);
  • возможности быстрого шифрования;
  • ориентацию на широкий спектр отраслей;
  • практику двойного вымогательства с угрозами утечки данных.

Синергия методов: как Phorpiex и LockBit взаимодействуют

Связь между Phorpiex и LockBit основывается на общих каналах распространения и меняющихся стратегиях атаки. Были зафиксированы случаи, когда Phorpiex использовалась для распространения программ-вымогателей LockBit, что добавляет новый уровень сложности в киберугрозы.

Киберпреступники, стоящие за LockBit, внедрили Phorpiex в свою инфраструктуру, что позволяет:

  • ускорить распространение возможностей программ-вымогателей;
  • предлагать свои тщательно разработанные инструменты другим киберпреступникам.

Анализ загрузчиков: LockBit, GandCrab и Phorpiex

Среди загрузчиков, замеченных в кампании Phorpiex, достойны внимания LockBit downloader и TWIZT downloader. Поток заражения начинается с фишинговых электронных писем, содержащих ZIP-файлы с именем «document.zip».

Стратегии загрузчиков различаются:

  • TWIZT загружает «spl.exe» с сайта twizt.net, сохраняя его как «windrv.exe»;
  • LockBit использует SCR-файл под именем «pic0502024.jpg.scr» для загрузки двоичного файла LockBit «lbbb.exe».

Эти загрузчики применяют различные методы обфускации и безопасности, что делает их более трудными для обнаружения и анализа. Например, обфускация кодов, удаление идентификаторов файлов и создание пустых файлов JPEG становятся характерными чертами этих угроз.

Заключение

Смена тактики, наблюдаемая в кибератаках, акцентирует внимание на необходимости обновления методов защиты и повышения уровня готовности кибербезопасности в различных отраслях. Принимая во внимание продолжение угроз от группировки LockBit и использование Phorpiex, организации должны оставаться бдительными и активно адаптироваться к меняющимся условиям киберугроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: