Des pirates diffusent massivement le ransomware Lockbit dans le monde. Le malware est caché dans la pièce jointe de millions de mails. Pour orchestrer la campagne, les cybercriminels s’appuient sur un botnet d’envergure, le bien connu Phorpiex.
Lockbit est bien en vie. En dépit de l’opération Cronos, durant laquelle les forces de police ont démantelé une partie de l’infrastructure du gang, les cybercriminels continuent de se servir du ransomware LockBit 3.0 (ou LockBit Black) pour extorquer de l’argent. Les pirates du groupe ont d’ailleurs revendiqué des centaines de nouvelles victimes sur leur site du dark web la semaine dernière. Parmi les victimes récentes de Lockbit, on trouve l’hôpital de Cannes.
D’après une enquête menée par Proofpoint, des hackers se servent actuellement d’un botnet pour propager le malware sur les ordinateurs de leur cible. L’étude, partagée avec 01Net, révèle que les cybercriminels exploitent le réseau de machines compromises intitulé Phorpiex pour envoyer en masse des mails malveillants. L’opération a débuté le 24 avril 2024.
À lire aussi : le leader de Lockbit a été démasqué
Un fichier ZIP malveillant glissé dans un mail
Ces courriels proviennent tous d’une certaine « Jenny Green » et de l’adresse Jenny@gsd[.]com, indique ProofPoint. Les mails contiennent un fichier ZIP qui renferme un fichier exécutable .exe. Celui-ci est conçu pour installer LockBit Black sur l’ordinateur des internautes. Une fois que c’est fait, le ransomware va chiffrer toutes les données stockées sur la machine. Dans la foulée, le virus extrait les données. Par la suite, les attaquants vont réclamer une rançon en cryptomonnaies.
Notez que le malware infecte et verrouille uniquement l’appareil sur lequel il est installé. Il ne tente pas de se propager à d’autres appareils reliés par le réseau. D’après l’enquête de ProofPoint, les cybercriminels ne visent pas des entreprises en particulier. Les mails sont adressés à des entreprises ou des institutions issues de différents secteurs d’activité.
Lockbit et Phorpiex, un duo dangereux
Comme l’expliquent les chercheurs, Phorpiex est un botnet bien connu disponible par le biais d’un abonnement. Apparu en 2011, ce malware-as-a-service permet une foule de cybercriminels d’orchestrer des attaques par mail. En règle générale, les courriels envoyés par Phorbiex contiennent un malware capable de siphonner les données des utilisateurs. En miroir de Phorpiex, Lockbit est disponible par le biais d’un abonnement. De facto, on ignore quel groupuscule est à l’origine de cette vague d’attaques opportunistes. Proofpoint précise néanmoins que des mails malveillants envoyés par « Jenny Green » ont déjà été repérés depuis au moins janvier 2023.
Il est très inhabituel de retrouver « un échantillon LockBit Black » dans des mails partagés aussi massivement à « cette échelle dans le monde ». De plus, « cette campagne a été particulièrement remarquable en raison du volume élevé de messages en millions par jour, des volumes qui ne sont pas couramment observés ». ProofPoint estime que la combinaison de Lockbit, un « ransomware propriétaire et sophistiqué » avec le botnet Phorpiex amplifie l’ampleur des offensives et « augmente les chances de succès d’attaques par ransomware ». L’opération signe aussi le début d’un potentiel nouveau virage stratégique pour le monde des ransomwares.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
ProofPoint