Cyberprzestępcy Wykorzystują Podrabianie Royal Mail do Rozpowszechniania Ransomware

W środę, badacze z Proofpoint opublikowali raport ujawniający kampanię cybernetyczną, która podszywa się pod brytyjskiego przewoźnika pocztowego, Royal Mail, w celu rozpowszechniania ransomware’u Prince.

Ten wariant ransomware’u, który jest otwarcie dostępny na GitHubie, zawiera klauzulę wyłączenia odpowiedzialności, która stwierdza, że jest przeznaczony wyłącznie do celów edukacyjnych. Jednak został on użyty jako broń w skierowanym ataku, który dotknął organizacje zarówno w Wielkiej Brytanii, jak i w Stanach Zjednoczonych.

Atak ransomware o nazwie Prince rozpoczął się od hakera podszywającego się pod Royal Mail, wykorzystującego publiczne formularze kontaktowe na stronach internetowych celowanych organizacji do wysyłania mylących wiadomości e-mail. E-maile te zawierały PDF, który prowadził do pliku ZIP hostowanego na Dropboxie, kusząc ofiary do jego pobrania.

Wewnątrz pliku ZIP znajdował się drugi, chroniony hasłem plik ZIP, wraz z plikiem tekstowym ujawniającym hasło. Tworzyło to fałszywe poczucie bezpieczeństwa dla ofiar.

Po otwarciu, skrót pliku wykonywał przemaskowany kod JavaScript, który tworzył kilka plików w tymczasowym katalogu systemowym. Kod ten wykorzystywał skrypty PowerShell, aby ominąć środki bezpieczeństwa i zapewnić trwałość, uruchamiając się co 20 minut, gdy komputer był bezczynny.

Gdy ransomware został uruchomiony, zaszyfrował pliki ofiar, dodając rozszerzenie „.womp” i wyświetlając fałszywy ekran powitalny aktualizacji Windows, aby ukryć swoją szkodliwą działalność.

Na pulpicie pojawiła się notatka z żądaniem okupu w wysokości 0,007 Bitcoinów (około 400 dolarów) za odszyfrowanie. Jednak analiza wykazała, że oprogramowanie ransomware nie posiadało mechanizmu odszyfrowania ani możliwości wykradania danych, co sugeruje, że zostało zaprojektowane raczej do niszczenia, niż do osiągania zysków.

Kluczowe jest to, że w tej kampanii nie ma mechanizmów odszyfrowania ani możliwości wykradania danych, co czyni ją bardziej destrukcyjną niż typowe oprogramowanie ransomware. Brak unikalnych identyfikatorów w kodzie tego ransomware sugeruje, że nawet jeśli ofiary zapłacą okup, nie ma gwarancji odzyskania plików.

Proofpoint nie przypisał tej złośliwej aktywności żadnemu konkretnemu sprawcy zagrożenia. Otwarty charakter ransomware’u Prince pozwala różnym aktorom na swobodne modyfikowanie i wdrażanie go. Jego twórca, znany jako SecDbg, otwarcie oferuje modyfikacje umożliwiające obejście środków bezpieczeństwa, co dodatkowo komplikuje próby przypisania autorstwa.

Ten incydent podkreśla dynamicznie zmieniający się krajobraz zagrożeń ransomware. Chociaż takie ataki zazwyczaj nie pochodzą bezpośrednio z e-maili, korzystanie z formularzy kontaktowych jako metody dostarczania odzwierciedla szerszy trend.

To jest szczególnie niepokojące, ponieważ usługi pocztowe takie jak Royal Mail, UPS i FedEx są regularnie naśladowane przez złośliwych aktorów. Klienci często otrzymują fałszywe telefony, wiadomości tekstowe i maile, które wydają się być oficjalnymi komunikatami, ale tak naprawdę są oszustwami, jak zauważa The Record.

Aby pomóc zwalczyć ten problem, Royal Mail oferuje przydatną listę popularnych oszustw wykorzystujących ich markę.

Organizacje są zdecydowanie zachęcane do szkolenia swoich pracowników w celu rozpoznawania podejrzanych komunikatów i zgłaszania wszelkich nieprawidłowości wewnętrznym zespołom bezpieczeństwa. Wraz ze wzrostem zaawansowania zagrożeń cybernetycznych, czujność i edukacja są kluczowe dla zapobiegania potencjalnym naruszeniom bezpieczeństwa.