🎃 ¡Rebajas de Halloween! ¡Office 2021 para siempre por sólo 29,11€/PC! [ Saber más ]
La Policía Nacional ha alertado de una campaña en curso del ransomware ‘LockBit Locker’ dirigida a estudios de arquitectura de España a través de correos electrónicos de phishing.
«La campaña, con un nivel de sofistificación muy alto, va dirigida contra empresas de arquitectura si bien no se descarta que amplíen su acción a otros sectores», afirma el comunicado policial.
La policía española ha detectado que muchos correos electrónicos se envían desde el dominio inexistente «fotoprix.eu» y suplantan la identidad de una firma fotográfica.
Los actores de la amenaza se hacen pasar por una tienda de fotografía recién inaugurada y solicitan al estudio de arquitectura un plan de renovación/desarrollo de las instalaciones y un presupuesto de las obras.
Tras intercambiar varios correos electrónicos para generar confianza, los operadores de LockBit proponen concretar una fecha de reunión para discutir el presupuesto y los detalles del proyecto de construcción y envían un archivo con documentos sobre las especificaciones exactas de la renovación.
Estos archivos contienen una carpeta llamada ‘fotoprix’ que incluye numerosos archivos Python, archivos batch y ejecutables. El archivo también contiene un acceso directo de Windows llamado ‘Caracteristicas’ que, cuando se inicia, ejecuta un script Python malicioso.
El script Python ejecutado comprueba si el usuario es administrador del dispositivo y, en caso afirmativo, realizará modificaciones en el sistema para que persistan y, a continuación, ejecuta el ransomware ‘LockBit Locker’ para cifrar los archivos.
Si el usuario de Windows no es administrador del dispositivo, utilizará el bypass UAC de Fodhelper para lanzar el ransomware encriptador con privilegios de administrador.
La policía española subraya el «altísimo nivel de sofisticación» de estos ataques, destacando especialmente la coherencia de las comunicaciones que convencen a las víctimas de que interactúan con individuos realmente interesados en discutir detalles de proyectos arquitectónicos.
Los delincuentes detrás de este phishing han utilizado ampliamente el cebo de la «licitación» en campañas en las que se hacían pasar por empresas privadas o agencias gubernamentales y utilizaban documentos bien elaborados para convencer de la legitimidad de sus mensajes.