Кибератакующие используют подражание королевской почте для распространения вымогательского ПО

В среду исследователи из Proofpoint опубликовали доклад, в котором раскрыли киберкампанию, которая под видом британского почтового оператора Royal Mail распространяет вирус-вымогатель Prince.

Этот вариант вируса-вымогателя, открыто доступный на GitHub, сопровождается отказом от ответственности, в котором говорится, что он предназначен исключительно для образовательных целей. Однако он был использован как оружие в целевой атаке, затрагивающей организации в Великобритании и США.

Атака вымогательского ПО под названием «Принц» началась с того, что злоумышленники выдали себя за работников Королевской почты, используя публичные контактные формы на сайтах целевых организаций для отправки вводящих в заблуждение электронных писем. В этих письмах содержался PDF-файл, который вел к ZIP-файлу, размещенному в Dropbox, заманивая жертв в ловушку скачивания.

Внутри ZIP-файла был еще один ZIP, защищенный паролем, а также текстовый файл с раскрытием пароля, что создавало ложное чувство безопасности у жертв.

После открытия, файл-ярлык выполнял обфусцированный код JavaScript, который создавал несколько файлов во временном каталоге системы. Этот код использовал скрипты PowerShell для обхода мер безопасности и установления постоянного присутствия, выполняясь каждые 20 минут, пока компьютер находился в режиме ожидания.

Когда был запущен вирус-вымогатель, он шифровал файлы жертв с расширением «.womp» и отображал поддельный экран обновления Windows, чтобы скрыть свою злонамеренную активность.

На рабочем столе находилась записка с требованием выкупа в размере 0,007 биткоинов (примерно 400 долларов) за дешифровку. Однако анализ показал, что у вируса-вымогателя нет механизма дешифровки или способности к эксфильтрации данных, что говорит о том, что он был создан для уничтожения, а не для получения прибыли.

Что критически важно, в этой кампании нет механизмов дешифровки или возможностей для эксфильтрации данных, что делает ее более разрушительной, чем типичный вирус-вымогатель. Отсутствие уникальных идентификаторов в кодировке вируса-вымогателя говорит о том, что даже если жертвы заплатят выкуп, нет гарантии восстановления файлов.

Proofpoint не связывает эту вредоносную активность с каким-либо конкретным актером угроз. Открытый исходный код Prince ransomware позволяет различным актерам свободно вносить изменения и распространять его. Создатель, известный как SecDbg, открыто предлагает модификации для обхода мер безопасности, что еще больше усложняет попытки атрибуции.

Этот инцидент подчеркивает развивающийся ландшафт угроз в виде вымогательского ПО. Хотя такие атаки обычно не исходят непосредственно из электронных писем, использование контактных форм в качестве способа доставки отражает более широкий тренд.

Это особенно тревожно, поскольку почтовые службы, такие как Royal Mail, UPS и FedEx, регулярно подвергаются подделке злоумышленниками. Клиенты часто получают мошеннические телефонные звонки, текстовые сообщения и электронные письма, которые кажутся официальными уведомлениями, но на самом деле являются мошенничеством, как отметил The Record.

Чтобы помочь бороться с этой проблемой, Royal Mail предлагает полезный список распространенных мошеннических схем, которые используют их бренд.

С организациями настоятельно рекомендуется обучать своих сотрудников распознаванию подозрительной корреспонденции и сообщать о любых аномалиях внутренним службам безопасности. Поскольку киберугрозы становятся все более изощренными, бдительность и образование являются ключом к предотвращению возможных нарушений.