ProLock Ransomware samarbejder med Qakbot om at angribe virksomhedsnetværk

ProLock er et relativt nyt navn på ransomware-scenen, og i lyset af dette er det ikke overraskende, at folkene bag det er mere interesseret i at ramme virksomheder snarere end individuelle brugere. For et stykke tid siden blev fokuset flyttet væk fra Joe Average og blev placeret firkantet på virksomheder, finansinstitutioner, regeringen og endda sundhedsorganisationer, og i det øjeblik ser det ud til, at der ikke er nogen tilbagevenden. De forskellige mål er imidlertid forskellige udfordringer, og et af de vigtigste er den indledende infektionsvektor.

Tidligere var ransomware-infektionskæden ret ligetil. Et stort botnet affyrede et stort antal spam-e-mails. Vedhæftet dem ville være makro-snørrede Word-dokumenter, som brugerne ville åbne takket være nogle sociale ingeniørtriks. De ondsindede filer installerede ransomware lydløst, og afpresningsoperationen ville begynde. For individuelle brugere fungerer dette meget godt, men i et virksomhedsmiljø vil medarbejderne sandsynligvis blive bedre trænet, og spamfiltrene er sandsynligvis strengere, hvilket alt kan modvirke sådanne angreb.

Som et resultat er ransomware-operatører tvunget til at lede efter andre måder at kompromittere deres mål netværk. De mennesker, der kører ProLock-ransomware, har tilsyneladende fundet svaret i en anden malware-familie kaldet Qakbot.

ProLock bruger Qakbot som en dropper

I går delte ZDNet en FBI- flashalarm fra tidligere denne måned, hvorefter ProLock kompromitterer nogle af sine ofrenes netværk med Qakbots hjælp. I sidste uge bekræftede forskere fra Group-IB, at de også har set Qakbot installere ProLock på hacket systemer. Dette kan betyde, at de mennesker, der har udviklet Qakbot, også er ansvarlige for ProLock, men sandheden er, partnerskabet kan også være resultatet af en aftale mellem to ikke-relaterede cyberkriminelle bander.

Én ting er sikker - brugen af Qakbot som en dråber har bestemt sine fordele. Mens ProLock stadig prøver at lave et navn for sig selv, har Qakbot allerede inficeret en hel del computere over hele verden, hvilket betyder, at ransomware-operatørerne kan skånes for arbejdet med at skabe overbevisende phishing-kampagner eller se efter sårbare RDP-konfigurationer. Derudover har Qakbot kloge mekanismer til detektering af undgåelse, og det kan også hjælpe med en meget vigtig del af ProLocks drift.

Som du måske allerede har hørt, stjæler mange ransomware-besætninger nu data ud over at kryptere dem. På den måde, selvom målet nægter at betale for en dekrypterer, kan skurkerne stadig true med at lække de følsomme oplysninger, medmindre der betales løsepenge. ProLock har sine egne dataeksfiltreringsmekanismer, men takket være Qakbots funktionsmærker til Keylogging og password-stjæle, kan mængden af forfremmet information være meget mere omfattende. Specialisterne påpegede ikke, om partnerskabet spænder ud over den oprindelige installation, men Qakbot kan muligvis bare hjælpe ProLock med at bevæge sig lateralt også inden for det kompromitterede netværk.

Alt i alt har ProLock slået sig sammen med et meget avanceret stykke malware. Hvilket for øvrig er mere end man kan sige om ProLock selv.

ProLock ransomware har haft en vanskelig fødsel

ProLocks første inkarnation blev faktisk kaldt PwndLocker. Det dukkede op i slutningen af 2019, og det begyndte straks at skabe en ødelæggelse. Efter at have taget et par overskrifter, fangede PwndLocker opmærksomheden fra forskere fra Emsisoft, der hurtigt fandt en fejl i ransomwarens krypteringsmekanisme. I begyndelsen af marts frigav sikkerhedseksperterne en gratis dekryptering for PwndLocker-ofre.

Skurkerne gik tilbage til deres kode, rettede fejlen og gav deres ransomware et nyt navn - ProLock. Forskerne har endnu ikke fundet en måde at slå den reparerede krypteringsmekanisme på, men desværre ser ProLock-banden også ud til at have problemer med at gendanne data fra virksomheder, der har betalt løsepenge.

Når virksomheder giver efter for afpresningsforsøgene og overfører bitcoins, modtager de et dekrypteringsprogram fra skurkerne, som teoretisk set skal gendanne alle filer tilbage til deres oprindelige tilstand. I virkeligheden antyder rapporter imidlertid, at ProLocks dekryptering ødelægger nogle af de større filer.

Ud over at lide de økonomiske tab (som afhænger af målet, men aldrig er ubetydelige), mister ProLock-ofre også deres data, som igen understreger risikoen forbundet med at forhandle med skurke. Sørg for, at din organisation sikkerhedskopierer filer regelmæssigt, og ikke brændstof til cyberkriminelle virksomhed ved at overholde ransomware-operatørernes krav.