Spaniens nationalpolis varnar för flera pågående LockBit Locker ransomware attacker i landet genom nätfiske-e-post.
De upptäckta attackerna har en mycket hög nivå av sofistikering eftersom offren inte misstänker något förrän deras datorer är krypterade. Öppna inte länkar eller ladda ner filer av tvivelaktigt ursprung, ha alltid operativsystemet och antivirusprogrammet uppdaterat. Samt gör oberoende säkerhetskopior på regelbunden basis, är några av tipsen för att undvika att bli offer för detta bedrägeri.
Den pågående attacken riktar sig mot arkitektföretag, även om det inte är uteslutet att de utvidgar sin verksamhet till andra sektorer.
Rikspolisens centrala IT-brottsenhet har bland annat som mål att förhindra spridning, spridning och infektion av IKT-utrustning med skadlig programvara. Inom denna funktion har cyberagenter upptäckt att e-postmeddelanden skickas till arkitektföretag från en obefintlig domän av typen ”fotoprix.eu”. I mejlet utger sig cyberbrottslingarna som fotoföretaget och begär en budget för att genomföra en reform av deras anläggningar.
Först skapar de förtroende.
Efter att ha utbytt flera e-postmeddelanden för att bygga förtroende, föreslår LockBit-operatörerna ett mötesdatum för att diskutera budgeten och detaljerna för byggprojektet och skickar ett arkiv med dokument om de exakta specifikationerna för renoveringen. När du laddar ner filen och kör den på datorn krypteras terminalen automatiskt. Direkt efteråt begär cyberbrottslingarna en lösensumma för att återställa filerna, vars instruktioner återspeglas i en .txt-fil som kopieras till den drabbade datorn.
Dessa arkiv innehåller en mapp som heter ’fotoprix’ som innehåller många Python-filer, batchfiler och körbara filer. Arkivet innehåller också en Windows-genväg som heter ”Funktioner”, som, när den startas, kommer att köra ett skadligt Python-skript.

En analys visar att det körda Python-skriptet kommer att kontrollera om användaren är administratör för enheten, och i så fall göra ändringar i systemet och sedan kör de ’LockBit Locker’ ransomware för att kryptera filerna.

Om Windows-användaren inte är en administratör på enheten kommer den att använda Fodhelper UAC-bypass för att starta ransomware-krypteringsprogrammet med administratörsbehörighet.
Den spanska polisen understryker denna ”mycket höga nivån av sofistikering” i dessa attacker. De noterar särskilt innehållet i kommunikationen som övertygar offren om att de interagerar med individer som är genuint intresserade av att diskutera detaljer om arkitekt projekt.

En video som visar hur LockBit Locker fungerar:
Källor: Policía Nacional och Bleepingcomputer.
Fler artiklar rörande Internet: Arkiv Internet.