La compañía de ciberseguridad Proofpoint ha identificado una campaña maliciosa de gran envergadura facilitada por la botnet Phorpiex. Esta operación, que funciona como malware-as-a-service, se dedica a la exfiltración de datos y la distribución del ransomware LockBit Black. Es la primera vez que los investigadores observan la distribución de LockBit Black (también conocido como LockBit 3.0) en cantidades tan elevadas a través de Phorpiex.
La muestra de LockBit Black utilizada en esta campaña se creó probablemente a partir del builder de LockBit que se filtró en el verano de 2023. Los correos maliciosos contenían un archivo ZIP adjunto con un ejecutable (.exe) que descargaba el payload de LockBit Black desde la infraestructura de Phorpiex. Estos correos se enviaban de manera masiva y oportunista a organizaciones de diversos sectores en todo el mundo, sin un objetivo específico.
La cadena de ataque requería la interacción del usuario. Si el ataque tenía éxito, LockBit Black se descargaba y ejecutaba en el sistema del usuario, donde robaba datos, se apoderaba del sistema y cifraba los archivos, interrumpiendo los servicios. En campañas anteriores, el ransomware se ejecutaba directamente, evitando así detecciones en la red.
“Aunque la cadena de ataque de esta campaña no era necesariamente compleja en comparación con otras observadas en 2024, el gran volumen de mensajes y el uso de ransomware como payload inicial es notable. No habíamos visto algo similar en el panorama del spam malicioso desde antes de 2020 o con las campañas de Emotet”, comentó el equipo de investigación de Proofpoint.
LockBit Black, una versión mejorada del ransomware LockBit lanzada en junio de 2022, se volvió más accesible después de que su builder se filtrara en septiembre de ese año. Esta filtración permitió que cualquier persona pudiera utilizar este sofisticado ransomware para crear versiones personalizadas.
Según los investigadores de Proofpoint, “esta campaña ha amplificado la escala de estas amenazas y aumenta las posibilidades de éxito de los ataques de ransomware. Es otro ejemplo claro de cómo sigue evolucionando el panorama de las amenazas, con tácticas, técnicas y procedimientos cada vez más sofisticados utilizados por los ciberdelincuentes”.