Le célèbre groupe de ransomware LockBit frappe de nouveau. Baptisée « LockBit Black Ransomware Campaign », sa nouvelle offensive de phishing, fait des ravages en exploitant le botnet Phorpiex pour inonder les boîtes mails.
Vous pensiez les cybercriminels de LockBit neutralisés ? Que nenni, et ce, malgré l'identification de sa tête pensante, Dmitry Khoroshev, aka LockBitSupp. Les experts en cybersécurité du New Jersey viennent de tirer la sonnette d'alarme sur les nouvelles tactiques déployées par ce gang de ransomware particulièrement prolifique.
Surnommée « LockBit Black Ransomware Campaign », cette opération malveillante d'envergure exploite les ressources du botnet Phorpiex, similaire à Twizt, connu en 2021 pour avoir pillé un demi-million de dollars en cryptos.
La technique ? Exploiter le botnet de LockBit 3.0 pour diffuser en masse des logiciels malveillants déguisés en pièces jointes ZIP apparemment anodines. Mais une fois décompressées et ouvertes par la victime, celles-ci se métamorphosent en un cheval de Troie qui se déclenche pour télécharger un virus dévastateur. Les dégâts risquent d'être colossaux avec ce nouveau coup de force d'un groupe qui ne semble pas vouloir baisser la garde.
LockBit se dote du botnet Phorpiex pour diffuser sa campagne de ransomware
Pour toucher un maximum de cibles en un minimum d'efforts et de temps, le célèbre gang pro-Russe n'a pas lésiné sur les moyens. Il a utilisé le botnet Phorpiex pour mener une attaque de phishing par e-mail à grande échelle. Depuis avril 2024, celui-ci a inondé les destinataires sans méfiance avec environ 9 millions d'e-mails contenant des pièces jointes ZIP malveillantes.
La méthode d'attaque de LockBit est simple mais efficace, comme très souvent. Le groupe exploite le botnet de la version LockBit 3.0 pour diffuser des logiciels malveillants, lesquels serviront à récolter des données utiles au groupe pour effectuer leur campagne de ransomware. Une fois que la cible clique sur la pièce jointe, le téléchargement d'un fichier binaire est déclenché.
Les chercheurs en sécurité, notamment ceux de chez ProofPoint, ont analysé les e-mails de phishing associés à cette campagne. Ils ont observé une multitude de lignes d'objet, notamment « Votre document », « Photo de vous » et des noms comme Jenny Brown et Jenny Green. Les e-mails proviennent de plus de 1 500 adresses distinctes dans le monde, couvrant des régions telles que la Chine, la Russie, l'Iran, l'Ouzbékistan et le Kazakhstan.
Ne vous faites plus avoir par les tentatives de phishing et de ransomware
Comme le veut l'usage, la très officielle Cellule de cybersécurité et d'intégration des communications de l'État du New Jersey (NJCCIC), à l'origine de la découverte de cette nouvelle campagne de ransomware de LockBit, a publié des recommandations de prudence à ses employés et de formation à la détection de campagnes de phishing. C'est ce que Clubic fait également avec ses lecteurs, en leur fournissant des conseils pour éviter de tomber sous le coup d'une demande de rançon après le vol de leurs données personnelles.
Soyez extrêmement vigilant concernant l'expéditeur des messages reçus. Une adresse mail inconnue, comportant des fautes d'orthographe ou des caractères suspects, doit vous mettre la puce à l'oreille. Comparez-la aux adresses officielles utilisées par l'expéditeur dans ses précédentes communications s'il y en a eu. Si elles diffèrent, adoptez une position prudente. La date et l'heure d'envoi peuvent également trahir une arnaque : un e-mail provenant d'un expéditeur qui n'a pas l'habitude d'être actif à ces heures inhabituelles doit susciter des doutes.
Le contenu du message peut révéler une tentative d'hameçonnage. Les e-mails frauduleux regorgent souvent de fautes d'orthographe, adoptent un ton irréaliste ou insistant, et jouent sur un registre émotionnel pour vous pousser à réagir dans l'urgence. Méfiez-vous particulièrement des messages alarmistes. Enfin, par principe de précaution, ne cliquez jamais sur des pièces jointes ou des liens hypertextes présents dans un e-mail d'origine inconnue, ceux-ci pouvant dissimuler des logiciels malveillants nuisibles à votre appareil. Placez le curseur sur les liens sans cliquer pour vérifier l'URL de redirection.
30 octobre 2024 à 11h48
Sources : ProofPoint, Cybersecurity Insiders, NJCCIC
