Хакеры LockBit используют интересную уловку. Они маскируют свое вредоносное ПО под претензии на авторские права, которые рассылают в поддельных email рассылках.
Получателям этих писем злоумышленники «грозят ответкой» за нарушении авторских прав, когда пользователь якобы использовал медиафайлы без авторской лицензии. В этих электронных письмах злодеи требуют, чтобы получатель удалил контрафактный контент со своих веб-сайтов, иначе им грозит кара небесная огромный штраф, а возможно и тюремный срок.
В электронных письмах от злоумышленников, которые обнаружили аналитики из AhnLab, не указано, какие файлы были незаконно получены пользователем. Вместо этого преступники предлагают получателю загрузить и открыть вложенный файл, чтобы увидеть, чьи авторские права он нарушил.
Вложение представляет собой защищенный паролем ZIP-архив, содержащий сжатый файл, который, в свою очередь, имеет исполняемый файл, замаскированный под PDF-документ, но на самом деле является установщиком NSIS.
Причина такой упаковки и защиты паролем заключается в том, чтобы избежать обнаружения инструментами системной безопасности электронной почты.
Если жертва открывает предполагаемый «PDF», чтобы узнать, какие медиа-файлы используются незаконно, вредоносное ПО загрузит и зашифрует устройство с помощью программы-вымогателя LockBit 2.0.
Претензии по авторским правам и вредоносные программы
Хотя использование заявлений о нарушении авторских прав интересно, оно не является ни новым, ни эксклюзивным для членов группировки LockBit, поскольку многие их кампании по распространению вредоносных программ используют одну и ту же уловку.
Электронных писем такого рода, обнаруженные исследователями угроз в области кибербезопасности, распространяли BazarLoader или загрузчик вредоносных программ Bumblebee.
Bumblebee используется для доставки полезных данных второго уровня, включая программы-вымогатели, поэтому открытие одного из этих файлов на вашем компьютере может привести к быстрым и катастрофическим для ваших данных атакам.
Претензии по авторским правам - это вопрос, который издатели контента должны серьезно рассмотреть, но если претензия не является прямолинейной, а вместо этого требует от вас открыть прикрепленные файлы для просмотра деталей нарушения, маловероятно, что это будет подлинное уведомление об удалении контрафактного контента.
LockBit в верхней части
Согласно отчету NCC Group «Threat Pulse» за май 2022 года на LockBit 2.0 пришлось 40% всех (236) атак вымогателей, о которых сообщалось в этом месяце.
Операции с использованием LockBit 2.0 Ransomware «зашифровали» колоссальные 95 жертв только в мае, в то время как Conti, BlackBasta, Hive и BlackCat в совокупности сумели «поразить» всего 65 целей
Эта опасная тенденция выводит LockBit 2.0 на вершину самых плодовитых операций вымогателей в 4 квартале 2021 года. А с учетом первого квартала текущего года — делает ее самой распространенной угрозой.