Attenzione alle email con allegato ZIP provenienti da GSD Support: aprono le porte a un attacco ransomware di LockBit Black.
Una nuova e massiccia campagna ransomware ad opera di LockBit Black rappresenta una minaccia significativa per le organizzazioni di diversi settori a livello globale. La campagna, individuata dagli esperti di cybersecurity di Proofpoint, ha preso il via il 24 aprile 2024 e si è distinta per il suo alto volume di messaggi email (si parla di milioni di messaggi) distribuiti attraverso la botnet Phorpiex.
Gli esperti di sicurezza hanno individuato email apparentemente innocue, con allegato un file ZIP che al suo interno cela un eseguibile. Se il destinatario incautamente aprisse l’allegato, verrebbe attivata una chiamata di rete all'infrastruttura botnet Phorpiex, che a sua volta scaricherebbe ed eseguirebbe il payload di LockBit Black. Ricordiamo che questo ransomware crittografa i file e blocca i servizi, compromettendo gravemente i sistemi delle vittime.
Gli analisti di Proofpoint hanno attribuito questa campagna a LockBit Black basandosi su varie prove raccolte durante le indagini. La botnet Phorpiex, utilizzata come veicolo principale per la distribuzione del ransomware e anche per l’attività di esfiltrazione dati, è monitorata fin dal 2018. Il match definito è stato, oltre al modus operandi della campagna, il tipo di payload utilizzato, che corrisponde alle caratteristiche distintive di LockBit Black. Sulla pagina ufficiale della ricerca sono pubblicati anche gli Indicatori di Compromissione.
Questa nuova minaccia sottolinea l'importanza per le aziende di adottare un approccio proattivo alla difesa, che passa anche per sessioni di awareness dei dipendenti così da insegnare loro a riconoscere le minacce e ad agire come prima linea di difesa.