המשטרה הלאומית של ספרד מזהירה מפני מתקפות כופרה מתמשכות של LockBit Locker המכוונות לחברות ארכיטקטורה במדינה באמצעות הודעות דיוג באימייל: "זוהה גל של שליחת מיילים לחברות אדריכלות, אם כי לא נשללת האפשרות שפעילות זו מתפשטת גם למגזרים אחרים", נכתב בהודעת המשטרה. כמו כן נכתב: "מתקפת סייבר זו הינה בעלת רמה גבוהה של תחכום מכיוון שהקורבנות לא חושדים בדבר עד שמערכות המחשוב שלהם מוצפנות".
משטרת הסייבר בספרד זיהתה כי מיילים רבים נשלחים מהדומיין הפיקטיבי fotoprix.eu המתחזה לחברת צילום. פושעי הסייבר מעמידים פנים שהם חנות צילום שהושקה לאחרונה והמבקשת ממשרד האדריכלות תוכנית שיפוץ או בניית חנות והערכת עלות העבודה. לאחר תחלופת מספר מיילים לבניית אמון מציעים מפעילי LockBit לקבוע מועד לפגישה כדי לדון בתקציב ובפרטי פרויקט הבנייה וכדי שיוכלו לשלוח מסמכים בתיקיית ארכיב עם המפרט המדויק של השיפוץ. בדוגמה שנראתה על ידי חוקרי אתר BleepingComputer, תיקיית ארכיב זה הינה קובץ תמונת דיסק (.img) שכאשר נפתחת בגרסאות חדשות יותר של Windows, היא טוענת אוטומטית את הקובץ כאות כונן ומציגה את התוכן שלו. תיקיית הארכיב כוללת בתוכה תיקיה בשם fotoprix ובה קבצי Python רבים, קבצי אצווה וקבצי הפעלה. הארכיב מכיל גם קיצור דרך של Windows בשם Caracteristicas, שכאשר יופעל יבצע סקריפט Python זדוני. הניתוח של BleepingComputer מראה שסקריפט ה- Python המופעל יבדוק אם המשתמש מוגדר כמנהל המחשב ואם כן, יבצע שינויים במערכת לצורך קיום נוכחות ולאחר מכן יפעיל את כופרת LockBit Locker כדי להצפין קבצים. אם משתמש Windows אינו מוגדר כמנהל המחשב, תשתמש הכופרה במעקף Fodhelper UAC כדי להפעיל את הכופרה עם הרשאות אדמין.
משטרת ספרד מדגישה את רמת התחכום הגבוהה מאוד של מתקפות אלו ומציינת במיוחד את העקביות של התכתובת המשכנעת את הקורבנות שהם מקיימים אינטראקציה עם אנשים המעוניינים באמת לדון בפרטי פרויקט אדריכלי.
בעוד שכנופיית הכופרה טוענת כי היא קשורה ל- LockBit, מאמינים חוקרי BleepingComputer שמתקפת כופרה זו מנוהלת על ידי פושעי סייבר אחרים המשתמשים בבונה הכופרה שהודלף LockBit 3.0. פעולת LockBit הרגילה מנהלת משא ומתן דרך אתר משא ומתן של Tor, בעוד שכופרת LockBit Locker מנהלת משא ומתן באמצעות דואר אלקטרוני או באמצעות פלטפורמת ההודעות Tox. יתר על כן, ניתוח אוטומטי על ידי מנוע הסריקה של Intezer מזהה את קובץ ההפעלה של הכופרה כ- BlackMatter שהינה כופרה שהפסיקה את פעילותה ב- 2021 ולאחר מכן מותגה מחדש כ- ALPHV/BlackCat.
בהתחשב בתחכום הודעות הדיוג וההנדסה החברתית שנראתה על ידי חוקרי הסייבר של אתר BleepingComputer, סביר להניח שפושעי הסייבר מאחורי מתקפה זו משתמשים בפתיונות שונים עבור חברות במגזרים שונים. פושעי סייבר המשתמשים בדיוג השתמשו רבות בפיתיון "call to bid" במתקפות המתחזות לחברות פרטיות או סוכנויות ממשלתיות, כשהם משתמשים במסמכים מעוצבים היטב כדי לשכנע את הלגיטימיות של המסרים שלהם. חשוב להבין כי התחזות פושעי סייבר ללקוחות לגיטימיים יכולה לעזור להם להתגבר על מכשולים, כמו אימון הקורבנות שלהם נגד מתקפות דיוג ולכן מומלץ לקיים כשגרה הדרכות ותרגול עובדים למודעות איומי סייבר.
