LockBit Black（LockBit.3.0） ランサムウェアがボットネットで数百万件のフィッシングメールを送信される

2024年4月以降、数百万件のフィッシングメールが Phorpiex（フォーピエックス） ボットネットを介して送信され、大規模な LockBit Black ランサムウェア攻撃が仕掛けられていました。

ニュージャージー州のサイバーセキュリティ・コミュニケーション統合センター (NJCCIC) が同じ警告をしており、攻撃者は ZIP 添付ファイルのフィッシングメールを使用しています。
この添付ファイルには実行ファイルが含まれており、開くと LockBit Black （LockBit.3.0）ランサムウェアのペイロードが展開され、受信者のシステムが暗号化されます。

LockBit Black（ロックビット　ブラックとは）

LockBit Black の暗号化プログラムは、2022 年 9月にLockBit （ロックビット）の侵害に不満を抱いた開発者によって Twitter 上に漏洩された LockBit 3.0 のビルドツールを使って作成された可能性が高いです。

ただし、今回の攻撃は実際の LockBit （ロックビット）のランサムウェアグループとは関係がないと考えられています。

フィッシングメールの内容

以下のように、”あなたのドキュメント” や “あなたの写真ですか？？?” といった件名で、”Jenny Brown” や “Jenny Green” という偽名を使って、カザフスタン、ウズベキスタン、イラン、ロシア、中国を含む世界中の 1,500 を超えるユニークな IP アドレスからこれらのフィッシングメールが送信されています。

画像引用：BleepingComputer

ランサムウェア LockBit Black（ロックビット　ブラック）による暗号化の実施

ランサムウェア攻撃は受信者が悪意のある ZIP アーカイブ添付ファイルを開き、中のバイナリを実行したところから始まります。

この実行ファイルは、Phorpiex ボットネットのインフラから LockBit Black ランサムウェアのサンプルをダウンロードし、被害者のシステム上で実行します。実行されると、機密データの窃取、サービスの停止、ファイルの暗号化を試みます。

このアプローチは新しいものではありませんが、悪意のあるペイロードを配信するために大量の電子メールが送信され、ランサムウェアが第 1 段階のペイロードとして使用されているため、他のサイバー攻撃のような巧妙さはないにもかかわらず、このアプローチは際立っています。

Phorpiex （フォーピエックス、別名：Trik）の活動履歴

Phorpiex （フォーピエックス、別名：Trikは 10 年以上活動しています。もともとはリムーバブル USB ストレージや Skype、Windows Live Messenger のチャット経由で拡散するワームでしたが、IRC で制御されるトロイの木馬へと進化し、スパムメールを使って配信されるようになりました。

Phorpiex のトロイの木馬に感染した端末は 100 万台を超え、巨大な規模へとゆっくりと成長しましたが、最終的に Phorpiex のインフラが停止されると、Phorpiex の運営者たちはダークウェブのハッキングフォーラムでこのマルウェアのソースコードを売りに出しました。

Phorpiex ボットネットは、数百万件のセクストーションメール (1時間あたり 3 万件以上のスパム) を配信するために使用されたこともあります。また、最近ではクリップボード・ハイジャックモジュールを使用して、Windows のクリップボードにコピーされた仮想通貨ウォレットアドレスを攻撃者が管理するアドレスに置き換える手口も確認されています。

仮想通貨のクリップ機能を追加してから 1 年以内に、Phorpiex の運営者は 969 件のトランザクションを乗っ取り、3.64 ビットコイン (約 172,300 ドル)、55.87 イーサリアム (約 216,000 ドル)、そして 55,000 ドル相当の ERC20 トークンを盗みました。