Sejak April, jutaan email phising telah dikirim melalui botnet Phorpiex untuk melakukan operasi masif ransomware LockBit Black.
Seperti yang diperingatkan oleh komunitas siber, bahwa para penyerang menggunakan lampiran ZIP yang berisi file executable yang menyebarkan muatan LockBit Black, yang mengenkripsi sistem penerima jika diluncurkan.
Enkripsi LockBit Black yang digunakan dalam serangan ini kemungkinan dibuat menggunakan pembuat LockBit 3.0 yang dibocorkan oleh pengembang yang tidak puas di Twitter pada bulan September 2022.
Namun, kampanye ini diyakini tidak memiliki afiliasi apa pun dengan operasi masif ransomware LockBit Black yang sebenarnya.
Email Phising LockBit
Email phising ini dengan “dokumen Anda” dan “foto Anda???” baris subjek dikirim menggunakan alias “Jenny Brown” atau “Jenny Green” dari lebih dari 1.500 alamat IP unik di seluruh dunia, termasuk Kazakhstan, Uzbekistan, Iran, Rusia, dan Tiongkok.
Rantai serangan dimulai ketika penerima membuka lampiran arsip ZIP berbahaya dan mengeksekusi biner di dalamnya.
Eksekusi ini kemudian mengunduh sampel ransomware LockBit Black dari infrastruktur botnet Phorphiex dan mengeksekusinya di sistem korban. Setelah diluncurkan, ia akan mencoba mencuri data sensitif, menghentikan layanan, dan mengenkripsi file.
Spray and Pray
Para peneliti mengetahui, pelaku menggunakan trik serangan Spray and Pray sejak 24 April, dan pelaku ancaman menargetkan perusahaan-perusahaan di berbagai vertikal industri di seluruh dunia.
Meskipun pendekatan ini bukan hal baru, banyaknya email yang dikirim untuk mengirimkan muatan berbahaya dan ransomware yang digunakan sebagai muatan tahap pertama membuatnya menonjol meskipun pendekatan ini tidak secanggih serangan siber lainnya.
Mulai 24 April 2024 dan berlanjut setiap hari selama sekitar satu minggu, Proofpoint mengamati kampanye bervolume tinggi dengan jutaan pesan yang difasilitasi oleh botnet Phorpiex dan mengirimkan ransomware LockBit Black.
Botnet Phorpiex
Botnet Phorpiex (juga dikenal sebagai Trik) telah aktif selama lebih dari satu dekade. Ini berevolusi dari worm yang menyebar melalui penyimpanan USB yang dapat dilepas dan obrolan Skype atau Windows Live Messenger menjadi trojan yang dikendalikan IRC yang menggunakan pengiriman spam email.
Meskipun perlahan-lahan tumbuh menjadi besar, mengendalikan lebih dari 1 juta perangkat yang terinfeksi setelah bertahun-tahun melakukan aktivitas dan pengembangan, operator botnet mencoba menjual source code malware di forum peretasan setelah menutup infrastruktur Phorpiex.
Botnet Phorpiex juga telah digunakan untuk mengirimkan jutaan email pemerasan (spam lebih dari 30.000 email per jam) dan baru-baru ini, menggunakan modul pembajak clipboard untuk mengganti alamat dompet mata uang kripto yang disalin ke clipboard Windows dengan alamat yang dikendalikan penyerang.
Dalam setahun setelah menambahkan dukungan kliping kripto, operator Phorpiex membajak 969 transaksi dan mencuri 3,64 Bitcoin ($172,300), 55,87 Ether ($216,000), dan token ERC20 senilai $55,000.
Untuk bertahan dari serangan phising yang mendorong ransomware, direkomendasikan penerapan strategi mitigasi risiko ransomware dan menggunakan solusi endpoint security dan solusi pemfilteran email seperti misalnya Vimanamail untuk memblokir pesan yang berpotensi berbahaya.
aca artikel lainnya:
- Pengelabuan Eksploitasi TLD
- Dominasi Business Email Compromise
- Investigasi Serangan Phising
- Layanan Phising Crypto Tipu Ribuan Korban
- Phising Layanan Microsoft 365
- Phising Masalah Siber Terbesar
- Qbot Menyebar Melalui Phising
- Phising QRIS
Sumber berita: