La Célula de Integración de Comunicaciones y Ciberseguridad de Nueva Jersey (NJCCIC por sus siglas) ha informado que desde el pasado mes abril los actores de amenazas han estado utilizando la botnet Phorpiex para enviar millones de emails de phishing como parte de una campaña de ransomware LockBit Black .
Esta bot habría estado activa desde al menos 2016 y ha estado involucrada en campañas de spam de sextorsión, crypto-jacking, sustitución de direcciones de billeteras de criptomonedas guardadas en los blocs de notas por la de los atacantes y ataques de ransomware.
En agosto de 2021 la organización criminal tras la botnet Phorpiex había clausurado sus operaciones y puesto a la venta el código fuente del bot en un foro de hackers de la dark web.
Eso habría facilitado que en diciembre de dicho año los expertos de Check Point Research pudieran constatar el resurgimiento de la botnet Phorpiex.
Cómo funciona la nueva versión
La nueva variante en manos de estos nuevos actores de amenazas se ha denominado Twitzt y puede funcionar sin servidores C2 activos en modo peer-to-peer. Así, cada uno de los equipos infectados puede actuar como un servidor y enviar comandos a otros bots en cadena.
Las estimaciones de los expertos hablan de que en un año esta variante pudo robar criptoactivos por valor de medio millón de dólares.
En unos emails se incluían archivos ZIP con cargas útiles ejecutables comprimidas que, si se ejecutan, inician el proceso de cifrado con el ransomware Lockbit Black, según informa Security Affairs.
“Los casos observados asociados con esta campaña estuvieron acompañados por la botnet Phorpiex (Trik), que entregó la carga útil del ransomware. Se identificaron más de 1.500 direcciones IP de envío únicas, muchas de las cuales estaban geolocalizadas en Kazajstán, Uzbekistán, Irán, Rusia, China y otros países”. afirma el informe publicado por el NJCCIC.
“Las IP identificadas que albergaban ejecutables de LockBit fueron 193[.]233[.]132[.]177 y 185[.]215[.]113[.]66. Las líneas de asunto incluían "su documento" y "¿¿¿tu foto???". Todos los correos electrónicos asociados fueron bloqueados o puestos en cuarentena”, añade la célula.