Οι χειριστές ProLock Ransomware στέλνουν ελαττωματικά αποκρυπτογραφημένα σε θύματα που πληρώνουν το Ransom

Όπως ίσως γνωρίζετε οι περισσότεροι από εσάς, δεν δημιουργούνται όλα τα ransomware ίδια. Ορισμένες οικογένειες έχουν δημιουργηθεί από νέους, άπειρους χάκερ που δανείζονται το μεγαλύτερο μέρος του κωδικού τους από ανοιχτά αποθετήρια. Συχνά, κάνουν λάθη κατά την εφαρμογή των μεμονωμένων στοιχείων και καταλήγουν σε δείγματα ransomware που δεν αποτελούν τόσο μεγάλη απειλή. Αντίθετα, άλλες οικογένειες κακόβουλου λογισμικού που κρυπτογραφούν αρχεία έχουν σχεδιαστεί και δημιουργηθεί από εξελιγμένες ομάδες χάκερ που έχουν σχεδόν απεριόριστο πόρο.

Το ProLock είναι ένα σχετικά νέο όνομα στη σκηνή του ransomware. Έχει πιάσει μερικά πρωτοσέλιδα τους τελευταίους μήνες και θα είναι ενδιαφέρον να δούμε αν είναι μία από τις πιο εξελιγμένες απειλές ή αν έχει δημιουργηθεί από μια ομάδα ερασιτεχνών.

ProLock - μια σοβαρή απειλή για οργανισμούς όλων των σχημάτων και μεγεθών

Ερευνητές από τη Sophos αποφάσισαν πρόσφατα να ρίξουν μια πιο προσεκτική ματιά στο ProLock αφού ένας από τους πελάτες τους χτυπήθηκε από αυτό. Έγινε αμέσως προφανές ότι δεν είναι έργο των λεγόμενων παιδικών σεναρίων.

Στην περίπτωση της επίθεσης που διερεύνησε ο Sophos, το αρχικό σημείο εισόδου ήταν ένας διακομιστής RDP με κακή διαμόρφωση που εκμεταλλεύτηκαν οι χάκερ. Αφού έθεσαν σε κίνδυνο το θύμα, συγκέντρωσαν μερικές περισσότερες πληροφορίες σχετικά με το δίκτυο στο οποίο βρίσκονταν και αργότερα χρησιμοποίησαν μια λίστα κλεμμένων διαπιστευτηρίων για να μετακινηθούν σε αυτό. Η πραγματική λειτουργία ransomware ξεκινά με την τοποθέτηση τεσσάρων αρχείων στο φάκελο% ProgramData% του κεντρικού υπολογιστή.

Υπάρχει μια εικόνα BMP, ένα αρχείο XML και μερικά αρχεία batch. Το πρώτο αρχείο δέσμης ρυθμίζει μια προγραμματισμένη εργασία χρησιμοποιώντας τις παραμέτρους που ορίζονται στο έγγραφο XML. Η προγραμματισμένη εργασία εκτελεί το δεύτερο αρχείο δέσμης, το οποίο, με τη σειρά του, εξάγει το ωφέλιμο φορτίο ransomware που κωδικοποιείται στην εικόνα BMP χρησιμοποιώντας στιγογραφία.

Πριν από την κρυπτογράφηση των δεδομένων, το ProLock τερματίζει ορισμένες διαδικασίες προκειμένου να διασφαλίσει ότι ανοίγουν λιγότερα αρχεία κατά το στάδιο κρυπτογράφησης. Όταν ολοκληρωθεί η ανακατάταξη των πληροφοριών, το ProLock ρίχνει μια σημείωση λύτρων με ένα User ID και έναν σύνδεσμο προς έναν ιστότοπο που φιλοξενείται από Tor, όπου τα θύματα μπορούν να λάβουν περισσότερες πληροφορίες σχετικά με τις απαιτήσεις των χάκερ.

Μέχρι στιγμής, όλα φαίνονται πολύ επαγγελματικά κατασκευασμένα και προηγμένα. Όταν οι ερευνητές εξέτασαν μερικά δείγματα, ωστόσο, διαπίστωσαν ότι παρόλο που τμήματα του κώδικα ήταν προσαρμοσμένα σε μεμονωμένα θύματα, τα αναγνωριστικά χρήστη ήταν κωδικοποιημένα και δεν ήταν μοναδικά. Αυτό ήταν παράξενο. Αυτό που ήταν παράξενο, ωστόσο, ήταν ο τρόπος με τον οποίο το ProLock κρυπτογραφεί αρχεία.

Οι αποκρυπτογράφοι του ProLock δεν λειτουργούν

Το ProLock δεν κρυπτογραφεί αρχεία μικρότερα από 8KB. Για αυτά που είναι μεγαλύτερα, ξεκινά τη διαδικασία κρυπτογράφησης με το ένατο kilobyte. Ως αποτέλεσμα, εάν ανοίξετε ένα αρχείο που έχει ήδη κρυπτογραφεί το ransomware, θα δείτε ότι τα πρώτα μέρη του παραμένουν σε αναγνώσιμη μορφή.

Οι ερευνητές της Sophos πιστεύουν ότι αυτός είναι ο λόγος για τον οποίο δεν λειτουργούν οι αποκρυπτογράφοι του ProLock. Υπάρχουν αναφορές για ελαττωματικά προγράμματα αποκρυπτογράφησης που παρέχονται από τους χειριστές του ProLock για λίγο τώρα, αλλά αυτή είναι η πρώτη φορά που βλέπουμε μια τεχνική εξήγηση του προβλήματος. Η έκθεση της Sophos δείχνει ότι οι ειδικοί ασφαλείας ενδέχεται να είναι σε θέση να ανακτήσουν τα δεδομένα μετά την τροποποίηση του ελαττωματικού αποκρυπτογράφου, αλλά επισημαίνουν ότι δεν θα είναι φθηνό.

Είναι μια ακόμη απόδειξη για το γιατί δεν πρέπει ποτέ να συνεργάζεστε με εγκληματίες στον κυβερνοχώρο. Αλλά τώρα που όλοι γνωρίζουμε πού βρίσκεται το πρόβλημα, πόσο πιθανό είναι να το επιδιορθώσουν οι χειριστές ProLock;

Η συμμορία ProLock θα διορθώσει τους αποκρυπτογράφους τους;

Από τώρα και στο εξής, τα πιθανά θύματα που θα μπορούσαν να ενοχληθούν να κάνουν μια απλή αναζήτηση στο Google θα γνωρίζουν ότι ακόμη και αν πληρώσουν τα λύτρα, ενδέχεται να μην λάβουν τα δεδομένα τους πίσω. Θα είναι λιγότερο πιθανό να συνεργαστούν και ίσως πιστεύετε ότι αυτό θα μπορούσε να κάνει τους χειριστές του ransomware να ενημερώσουν τον μηχανισμό κρυπτογράφησης και να διορθώσουν το πρόβλημα. Το θέμα είναι, αν ο αποκρυπτογράφος λειτουργεί ή όχι θα μπορούσε να κάνει μικρή διαφορά σε αυτούς.

Επειδή οι εταιρείες διατηρούν πλέον αντίγραφα ασφαλείας των δεδομένων τους, η πληρωμή των λύτρων δεν είναι πλέον ο μόνος τρόπος για να τα ανακτήσετε σε περίπτωση επίθεσης ransomware. Πέρυσι, συμμορίες κυβερνοεγκλήματος που στοχεύουν οργανισμούς συνειδητοποίησαν ότι χρειάζονται ένα δεύτερο σημείο εκβιασμού και άρχισαν να κλέβουν πληροφορίες πριν την κρυπτογραφήσουν. Με αυτόν τον τρόπο, όταν ένα θύμα αρνείται να πληρώσει για έναν αποκρυπτογράφο, οι απατεώνες μπορούν να απειλήσουν να διαρρεύσουν τόνους ευαίσθητων δεδομένων. Πολλά πληρώματα ransomware το έχουν κάνει και τώρα αρχίζουμε να βλέπουμε ότι λειτουργεί.

Η έκθεση της Sophos λέει ότι η συμμορία ProLock δεν έχει ακόμη υιοθετήσει τη στρατηγική, αλλά επεσήμανε ότι μπορούν να το κάνουν ανά πάσα στιγμή. Οι οργανισμοί που θα μπορούσαν να στοχοθετηθούν από αυτό το συγκεκριμένο ransomware πρέπει να γνωρίζουν την απειλή και πρέπει να λάβουν τις απαραίτητες προφυλάξεις για να ενισχύσουν τα δίκτυά τους.