Polisen varnar för pågående nätfiskeattacker

Spaniens nationalpolis varnar för flera pågående LockBit Locker ransomware attacker i landet genom nätfiske-e-post.

De upptäckta attackerna har en mycket hög nivå av sofistikering eftersom offren inte misstänker något förrän deras datorer är krypterade. Öppna inte länkar eller ladda ner filer av tvivelaktigt ursprung, ha alltid operativsystemet och antivirusprogrammet uppdaterat. Samt gör oberoende säkerhetskopior på regelbunden basis, är några av tipsen för att undvika att bli offer för detta bedrägeri.

Den pågående attacken riktar sig mot arkitektföretag, även om det inte är uteslutet att de utvidgar sin verksamhet till andra sektorer.

Rikspolisens centrala IT-brottsenhet har bland annat som mål att förhindra spridning, spridning och infektion av IKT-utrustning med skadlig programvara. Inom denna funktion har cyberagenter upptäckt att e-postmeddelanden skickas till arkitektföretag från en obefintlig domän av typen ”fotoprix.eu”. I mejlet utger sig cyberbrottslingarna som fotoföretaget och begär en budget för att genomföra en reform av deras anläggningar.

Först skapar de förtroende.

Efter att ha utbytt flera e-postmeddelanden för att bygga förtroende, föreslår LockBit-operatörerna ett mötesdatum för att diskutera budgeten och detaljerna för byggprojektet och skickar ett arkiv med dokument om de exakta specifikationerna för renoveringen. När du laddar ner filen och kör den på datorn krypteras terminalen automatiskt. Direkt efteråt begär cyberbrottslingarna en lösensumma för att återställa filerna, vars instruktioner återspeglas i en .txt-fil som kopieras till den drabbade datorn.

Dessa arkiv innehåller en mapp som heter ’fotoprix’ som innehåller många Python-filer, batchfiler och körbara filer. Arkivet innehåller också en Windows-genväg som heter ”Funktioner”, som, när den startas, kommer att köra ett skadligt Python-skript.

LockBit Locker. IMG-filens innehåll
IMG-filens innehåll.

En analys visar att det körda Python-skriptet kommer att kontrollera om användaren är administratör för enheten, och i så fall göra ändringar i systemet och sedan kör de ’LockBit Locker’ ransomware för att kryptera filerna.

LockBit Locker, skadligt Python-skript.
Skadligt Python-skript.

Om Windows-användaren inte är en administratör på enheten kommer den att använda Fodhelper UAC-bypass för att starta ransomware-krypteringsprogrammet med administratörsbehörighet.

Den spanska polisen understryker denna ”mycket höga nivån av sofistikering” i dessa attacker. De noterar särskilt innehållet i kommunikationen som övertygar offren om att de interagerar med individer som är genuint intresserade av att diskutera detaljer om arkitekt projekt.

LockBit Locker begär lösensumma.
Lösensumma begärs.

En video som visar hur LockBit Locker fungerar:

Källor: Policía Nacional och Bleepingcomputer.

Fler artiklar rörande Internet: Arkiv Internet.


Jonny Erixon

Skribent, fotograf och konsult, född och uppvuxen i Sverige men jag är bosatt och arbetar i södra Spanien sedan 2001. Ett land som jag har lärt mig uppskatta mer och mer för varje år.

Läs också

Terrass som rasade i Palma de Mallorca.

Terrassen som rasade i Palma hade nyligen invigts

Kollapsen av terrassen orsakade 4 människors död och skadade nästan 30 varav 16 fick föras …