Το ProLock Ransomware συνεργάζεται με το Qakbot για επίθεση εταιρικών δικτύων

Το ProLock είναι ένα σχετικά νέο όνομα στη σκηνή του ransomware και υπό το φως αυτού, δεν αποτελεί έκπληξη το γεγονός ότι οι άνθρωποι πίσω από αυτό ενδιαφέρονται περισσότερο να χτυπήσουν εταιρείες παρά μεμονωμένους χρήστες. Πριν από λίγο καιρό, η εστίαση απομακρύνθηκε από τον Joe Average και τοποθετήθηκε ακριβώς στις επιχειρήσεις, τα χρηματοπιστωτικά ιδρύματα, την κυβέρνηση και ακόμη και τους οργανισμούς υγειονομικής περίθαλψης, και προς το παρόν, τουλάχιστον, φαίνεται να μην υπάρχει καμία επιστροφή. Ωστόσο, οι διαφορετικοί στόχοι παρουσιάζουν διαφορετικές προκλήσεις και ένας από τους κύριους είναι ο αρχικός φορέας μόλυνσης.

Στο παρελθόν, η αλυσίδα λοίμωξης ransomware ήταν αρκετά απλή. Ένα μεγάλο botnet θα πυροδοτούσε ένα τεράστιο αριθμό spam email. Σε αυτά θα επισυνάπτονταν έγγραφα Word με μακροεντολές, τα οποία θα άνοιγαν οι χρήστες χάρη σε κάποια κόλπα κοινωνικής μηχανικής. Τα κακόβουλα αρχεία θα εγκαταστήσουν σιωπηλά το ransomware και θα ξεκινήσει η λειτουργία εκβιασμού. Για μεμονωμένους χρήστες, αυτό λειτουργεί πολύ καλά, αλλά σε ένα εταιρικό περιβάλλον, οι εργαζόμενοι είναι πιθανό να είναι καλύτερα εκπαιδευμένοι και τα φίλτρα ανεπιθύμητων μηνυμάτων είναι πιθανότατα πιο αυστηρά, τα οποία θα μπορούσαν να αποτρέψουν τέτοιες επιθέσεις.

Ως αποτέλεσμα, οι χειριστές ransomware αναγκάζονται να αναζητήσουν άλλους τρόπους να θέσουν σε κίνδυνο τα δίκτυα των στόχων τους. Τα άτομα που χρησιμοποιούν το ProLock ransomware έχουν βρει την απάντηση σε μια άλλη οικογένεια κακόβουλου λογισμικού που ονομάζεται Qakbot.

Το ProLock χρησιμοποιεί το Qakbot ως σταγονόμετρο

Χθες, το ZDNet μοιράστηκε μια ειδοποίηση flash FBI από νωρίτερα αυτό το μήνα, σύμφωνα με την οποία η ProLock θέτει σε κίνδυνο ορισμένα από τα δίκτυα των θυμάτων της με τη βοήθεια του Qakbot. Την περασμένη εβδομάδα, ερευνητές από το Group-IB επιβεβαίωσαν ότι και οι Qakbot εγκατέστησαν το ProLock σε παραβιασμένα συστήματα. Αυτό μπορεί να σημαίνει ότι τα άτομα που έχουν αναπτύξει το Qakbot είναι επίσης υπεύθυνα για το ProLock, αλλά η αλήθεια είναι ότι η συνεργασία θα μπορούσε επίσης να είναι το αποτέλεσμα μιας συμφωνίας μεταξύ δύο άσχετων συμμοριών στον κυβερνοχώρο.

Ένα πράγμα είναι σίγουρο - η χρήση του Qakbot ως σταγονόμετρου έχει σίγουρα τα πλεονεκτήματά της. Ενώ το ProLock εξακολουθεί να προσπαθεί να κάνει το όνομά του, το Qakbot έχει ήδη μολύνει πολλούς υπολογιστές σε όλο τον κόσμο, πράγμα που σημαίνει ότι οι χειριστές ransomware μπορούν να γλιτώσουν τη δουλειά της δημιουργίας πειστικών καμπανιών ηλεκτρονικού ψαρέματος ή να αναζητήσουν ευάλωτες διαμορφώσεις RDP. Εκτός από αυτό, το Qakbot διαθέτει έξυπνους μηχανισμούς διαφυγής ανίχνευσης και θα μπορούσε επίσης να βοηθήσει με ένα πολύ σημαντικό μέρος της λειτουργίας του ProLock.

Όπως ίσως έχετε ήδη ακούσει, πολλά πληρώματα ransomware κλέβουν τώρα δεδομένα εκτός από την κρυπτογράφηση. Με αυτόν τον τρόπο, ακόμη και αν ο στόχος αρνείται να πληρώσει για έναν αποκρυπτογράφο, οι απατεώνες μπορούν ακόμα να απειλήσουν να διαρρεύσουν τις ευαίσθητες πληροφορίες, εκτός εάν πληρώσουν λύτρα. Το ProLock έχει τους δικούς του μηχανισμούς απομάκρυνσης δεδομένων, αλλά χάρη στις δυνατότητες του Qakbot και της κλοπής κωδικών πρόσβασης, η ποσότητα των πληροφοριών που έχουν παραβιαστεί θα μπορούσε να είναι πολύ πιο σημαντική. Οι ειδικοί δεν επεσήμαναν εάν η συνεργασία εκτείνεται πέρα από την αρχική εγκατάσταση, αλλά το Qakbot μπορεί να είναι σε θέση να βοηθήσει το ProLock να μετακινηθεί πλευρικά εντός του συμβιβασμένου δικτύου επίσης.

Συνολικά, το ProLock συνεργάστηκε με ένα πολύ προηγμένο κακόβουλο λογισμικό. Παρεμπιπτόντως, κάτι περισσότερο από ό, τι μπορούμε να πούμε για το ίδιο το ProLock.

Το ProLock ransomware είχε μια δύσκολη γέννηση

Η πρώτη ενσάρκωση του ProLock ονομάστηκε πραγματικά PwndLocker. Εμφανίστηκε στα τέλη του 2019 και αμέσως άρχισε να καταστρέφει. Αφού άρπαξε μερικά πρωτοσέλιδα, ο PwndLocker τράβηξε την προσοχή ερευνητών από την Emsisoft, οι οποίοι βρήκαν γρήγορα ένα σφάλμα στον μηχανισμό κρυπτογράφησης του ransomware. Στις αρχές Μαρτίου, οι ειδικοί ασφαλείας κυκλοφόρησαν ένα δωρεάν αποκρυπτογράφο για τα θύματα του PwndLocker.

Οι απατεώνες επέστρεψαν στον κωδικό τους, διόρθωσαν το σφάλμα και έδωσαν στο ransomware ένα νέο όνομα - ProLock. Οι ερευνητές δεν έχουν ακόμη βρει έναν τρόπο να νικήσουν τον επιδιορθωμένο μηχανισμό κρυπτογράφησης, αλλά δυστυχώς, η συμμορία ProLock φαίνεται επίσης να αντιμετωπίζει πρόβλημα με την αποκατάσταση των δεδομένων των εταιρειών που έχουν πληρώσει τα λύτρα.

Όταν οι εταιρείες παραχωρούν τις προσπάθειες εκβιασμού και μεταφέρουν τα bitcoin, λαμβάνουν ένα πρόγραμμα αποκρυπτογράφησης από τους απατεώνες, το οποίο θα πρέπει θεωρητικά να επαναφέρει όλα τα αρχεία στην αρχική τους κατάσταση. Στην πραγματικότητα, ωστόσο, οι αναφορές δείχνουν ότι ο αποκρυπτογράφος του ProLock καταστρέφει ορισμένα από τα μεγαλύτερα αρχεία.

Εκτός από το να υποστούν τις οικονομικές απώλειες (που εξαρτώνται από τον στόχο αλλά δεν είναι ποτέ ασήμαντες), τα θύματα του ProLock χάνουν επίσης τα δεδομένα τους, τα οποία υπογραμμίζουν για άλλη μια φορά τους κινδύνους που συνδέονται με τη διαπραγμάτευση με απατεώνες. Βεβαιωθείτε ότι ο οργανισμός σας δημιουργεί αντίγραφα ασφαλείας είναι τακτικά αρχεία και ότι δεν τροφοδοτεί την επιχείρηση των εγκληματιών στον κυβερνοχώρο συμμορφώνοντας τις απαιτήσεις των χειριστών ransomware.