Die ProLock Ransomware arbeitet mit Qakbot zusammen, um Unternehmensnetzwerke anzugreifen

ProLock ist ein relativ neuer Name in der Ransomware-Szene, und angesichts dessen ist es keine Überraschung, dass die Menschen dahinter mehr daran interessiert sind, Unternehmen als einzelne Benutzer zu treffen. Vor einiger Zeit wurde der Fokus von Joe Average wegbewegt und direkt auf Unternehmen, Finanzinstitutionen, Regierungen und sogar Gesundheitsorganisationen gelegt, und zumindest vorerst scheint es kein Zurück mehr zu geben. Die verschiedenen Ziele stellen jedoch unterschiedliche Herausforderungen dar, und eines der Hauptziele ist der anfängliche Infektionsvektor.

In der Vergangenheit war die Ransomware-Infektionskette ziemlich einfach. Ein großes Botnetz würde eine große Anzahl von Spam-E-Mails auslösen. Ihnen wären mit Makros versehene Word-Dokumente beigefügt, die die Benutzer dank einiger Social-Engineering-Tricks öffnen würden. Die schädlichen Dateien würden die Ransomware stillschweigend installieren und der Erpressungsvorgang würde beginnen. Für einzelne Benutzer funktioniert dies sehr gut, aber in einer Unternehmensumgebung sind die Mitarbeiter wahrscheinlich besser geschult, und die Spam-Filter sind wahrscheinlich strenger, was solche Angriffe verhindern könnte.

Infolgedessen sind Ransomware-Betreiber gezwungen, nach anderen Möglichkeiten zu suchen, um die Netzwerke ihrer Ziele zu gefährden. Die Leute, die die ProLock-Ransomware ausführen, haben die Antwort anscheinend in einer anderen Malware-Familie namens Qakbot gefunden.

ProLock verwendet Qakbot als Pipette

Gestern teilte ZDNet einen FBI-Flash-Alarm von Anfang dieses Monats mit, wonach ProLock mit Hilfe von Qakbot einige Netzwerke seiner Opfer kompromittiert. Letzte Woche haben Forscher der Gruppe IB bestätigt, dass auch Qakbot ProLock auf gehackten Systemen installiert hat. Dies könnte bedeuten, dass die Leute, die Qakbot entwickelt haben, auch für ProLock verantwortlich sind, aber die Wahrheit ist, dass die Partnerschaft auch das Ergebnis einer Vereinbarung zwischen zwei nicht verwandten Cyberkriminellen sein könnte.

Eines ist sicher - die Verwendung von Qakbot als Tropfer hat definitiv seine Vorteile. Während ProLock immer noch versucht, sich einen Namen zu machen, hat Qakbot bereits eine ganze Reihe von Computern auf der ganzen Welt infiziert. Dies bedeutet, dass die Ransomware-Betreiber keine lästigen Phishing-Kampagnen erstellen oder nach anfälligen RDP-Konfigurationen suchen müssen. Darüber hinaus verfügt Qakbot über clevere Mechanismen zur Erkennung von Umgehungen und kann auch bei einem sehr wichtigen Teil des ProLock-Betriebs hilfreich sein.

Wie Sie vielleicht schon gehört haben, stehlen viele Ransomware-Crews jetzt Daten zusätzlich zur Verschlüsselung. Auf diese Weise können die Gauner auch dann drohen, die vertraulichen Informationen zu verlieren, wenn das Ziel sich weigert, für einen Entschlüsseler zu zahlen, es sei denn, es wird ein Lösegeld gezahlt. ProLock verfügt über eigene Datenexfiltrationsmechanismen. Dank der Keylogging- und Kennwortdiebstahlfunktionen von Qakbot kann die Menge der gestohlenen Informationen jedoch erheblich größer sein. Die Spezialisten haben nicht darauf hingewiesen, ob die Partnerschaft über die Erstinstallation hinausgeht, aber Qakbot kann ProLock möglicherweise auch dabei helfen, sich seitlich innerhalb des gefährdeten Netzwerks zu bewegen.

Alles in allem hat sich ProLock mit einer sehr fortschrittlichen Malware zusammengetan. Das ist übrigens mehr als man über ProLock selbst sagen kann.

Die ProLock-Ransomware hatte eine schwierige Geburt

ProLocks erste Inkarnation hieß eigentlich PwndLocker. Es erschien Ende 2019 und machte sich sofort daran, Chaos anzurichten. Nach einigen Schlagzeilen erregte PwndLocker die Aufmerksamkeit von Forschern von Emsisoft, die schnell einen Fehler im Verschlüsselungsmechanismus der Ransomware fanden. Anfang März veröffentlichten die Sicherheitsexperten einen kostenlosen Entschlüsseler für PwndLocker-Opfer.

Die Gauner kehrten zu ihrem Code zurück, behebten den Fehler und gaben ihrer Ransomware einen neuen Namen - ProLock. Die Forscher haben noch keinen Weg gefunden, den reparierten Verschlüsselungsmechanismus zu überwinden, aber leider scheint die ProLock-Bande auch Probleme zu haben, die Daten von Unternehmen wiederherzustellen, die das Lösegeld gezahlt haben.

Wenn Unternehmen den Erpressungsversuchen nachgeben und die Bitcoins übertragen, erhalten sie von den Gaunern ein Entschlüsselungsprogramm, das theoretisch alle Dateien wieder in ihren ursprünglichen Zustand zurückversetzen sollte. In der Realität deuten Berichte jedoch darauf hin, dass der Entschlüsseler von ProLock einige der größeren Dateien beschädigt.

ProLock-Opfer erleiden nicht nur finanzielle Verluste (die vom Ziel abhängen, aber niemals unbedeutend sind), sondern verlieren auch ihre Daten, was erneut die Risiken hervorhebt, die mit Verhandlungen mit Gaunern verbunden sind. Stellen Sie sicher, dass Ihre Organisation regelmäßig Dateien sichert, und fördern Sie nicht das Geschäft der Cyberkriminellen, indem Sie die Anforderungen der Ransomware-Betreiber erfüllen.