Испанские вымогатели маскируются под клиентов архитектурных организаций

[Artifact]

Чёткая и продуманная кампания социальной инженерии даёт свои плоды — данные десятков фирм зашифрованы.
Национальная полиция Испании предупреждает о продолжающейся вымогательской кампании «LockBit Locker», направленной против архитектурных компаний в стране посредством фишинговых электронных писем.
«Была обнаружена волна рассылки электронных писем архитектурным компаниям, хотя не исключено, что действия злоумышленников могут распространиться и на другие сектора», — говорится в заявлении полиции.
По данным полиции, обнаруженная кампания отличается высоким уровнем сложности, поскольку жертвы ничего не подозревают, пока их устройства не будут полностью зашифрованы.
Многие письма в зловредной рассылке отправляются от имени несуществующего домена «fotoprix.eu». Злоумышленники притворяются недавно открывшимся фотосалоном и якобы хотят заказать у архитектурной фирмы план реконструкции помещения.
После нескольких писем для установления доверия вымогатели предлагают назначить встречу для обсуждения бюджета и деталей строительного проекта, попутно отправляя архив с документами, который должен содержать точные спецификации для расчётов архитекторов и подготовки плана предстоящей реконструкции.
Этот архив представляет собой дисковый образ формата «.img», который при открытии автоматически монтируется как съёмный диск Windows. Внутри диска содержится папка «fotoprix» с многочисленными Python-скриптами, пакетными и исполняемыми файлами. Там же находится ярлык Windows с названием «Характеристики», запуск которого выполняет вредоносный Python-скрипт.
Анализ специалистов показал, что этот скрипт проверяет, является ли пользователь администратором устройства и, если это так, вносит себя в автозагрузку и запускает вымогатель LockBit для шифрования файлов.
Испанская полиция подчёркивает «высокий уровень изощрённости» этих атак, отмечая последовательность коммуникаций, убеждающих жертв в том, что они взаимодействуют с реальными лицами, искренне заинтересованными в обсуждении деталей архитектурного проекта.
Хотя в записке вымогателей упоминаются связи с известной группировкой LockBit, эксперты полагают, что хакеры просто используют утёкший в конце прошлого года конструктор вредоносов LockBit 3.0, послуживший удобным инструментом для сотен атак , в то время как сама группировка не имеет ничего общего с настоящими хакерами LockBit.
Учитывая изощрённость фишинговых писем и социальной инженерии, вероятно, ответственные злоумышленники уже готовят правдоподобные приманки и для других секторов испанского бизнеса. Но ничто не мешает им расширить географию своих атак на другие страны.
Использование преступниками похожих методов первоначального проникновения крайне тревожно, так как позиционирование себя в качестве законных клиентов может помочь хакерам преодолеть препятствия вроде антифишинговой подготовки целей, надёжно усыпив их бдительность.