El ProLock Ransomware se asocia con Qakbot para atacar redes corporativas
ProLock es un nombre relativamente nuevo en la escena del ransomware, y a la luz de esto, no sorprende que las personas detrás de él estén más interesadas en atacar a las corporaciones que a los usuarios individuales. Hace un tiempo, el enfoque se alejó de Joe Average y se colocó directamente en empresas, instituciones financieras, gobiernos e incluso organizaciones de atención médica, y por el momento, al menos, parece que no hay vuelta atrás. Sin embargo, los diferentes objetivos presentan diferentes desafíos, y uno de los principales es el vector de infección inicial.
En el pasado, la cadena de infección del ransomware era bastante sencilla. Una gran botnet dispararía una gran cantidad de correos electrónicos no deseados. Se les adjuntarían documentos de Word con macrolaces, que los usuarios abrirían gracias a algunos trucos de ingeniería social. Los archivos maliciosos instalarían silenciosamente el ransomware y comenzaría la operación de extorsión. Para usuarios individuales, esto funciona muy bien, pero en un entorno corporativo, es probable que los empleados estén mejor capacitados y que los filtros de spam sean más estrictos, lo que podría frustrar tales ataques.
Como resultado, los operadores de ransomware se ven obligados a buscar otras formas de comprometer las redes de sus objetivos. Las personas que ejecutan el ransomware ProLock aparentemente han encontrado la respuesta en otra familia de malware llamada Qakbot.
ProLock usa Qakbot como cuentagotas
Ayer, ZDNet compartió una alerta flash del FBI de principios de este mes según la cual ProLock compromete algunas de las redes de sus víctimas con la ayuda de Qakbot. La semana pasada, los investigadores del Grupo IB confirmaron que ellos también vieron a Qakbot instalar ProLock en sistemas pirateados. Esto podría significar que las personas que han desarrollado Qakbot también son responsables de ProLock, pero la verdad es que la asociación también podría ser el resultado de un acuerdo entre dos pandillas cibercriminales no relacionadas.
Una cosa es segura: el uso de Qakbot como cuentagotas definitivamente tiene sus ventajas. Si bien ProLock todavía está tratando de hacerse un nombre, Qakbot ya ha infectado una gran cantidad de computadoras en todo el mundo, lo que significa que los operadores de ransomware pueden ahorrarse la tarea de crear campañas de phishing convincentes o buscar configuraciones vulnerables de RDP. Además de esto, Qakbot tiene mecanismos inteligentes de evasión de detección, y también podría ayudar con una parte muy importante de la operación de ProLock.
Como ya habrá escuchado, muchos equipos de ransomware ahora roban datos además de encriptarlos. De esa manera, incluso si el objetivo se niega a pagar por un descifrador, los delincuentes aún pueden amenazar con filtrar la información confidencial a menos que se pague un rescate. ProLock tiene sus propios mecanismos de filtración de datos, pero gracias a las capacidades de registro de claves y robo de contraseñas de Qakbot, la cantidad de información robada podría ser mucho más sustancial. Los especialistas no señalaron si la asociación se extiende más allá de la instalación inicial, pero Qakbot podría ayudar a ProLock a moverse lateralmente dentro de la red comprometida también.
Con todo, ProLock se ha asociado con una pieza muy avanzada de malware. Lo cual, por cierto, es más de lo que se puede decir sobre ProLock.
El ransomware ProLock ha tenido un nacimiento difícil.
La primera encarnación de ProLock en realidad se llamaba PwndLocker. Apareció a fines de 2019 e inmediatamente comenzó a causar estragos. Después de ver algunos titulares, PwndLocker llamó la atención de los investigadores de Emsisoft, que rápidamente encontraron un error en el mecanismo de cifrado del ransomware. A principios de marzo, los expertos en seguridad lanzaron un descifrador gratuito para las víctimas de PwndLocker.
Los ladrones volvieron a su código, corrigieron el error y le dieron a su ransomware un nuevo nombre: ProLock. Los investigadores aún no han encontrado una manera de vencer el mecanismo de cifrado reparado, pero desafortunadamente, la pandilla ProLock también parece tener problemas para restaurar los datos de las compañías que han pagado el rescate.
Cuando las empresas ceden ante los intentos de extorsión y transfieren los bitcoins, reciben un programa de descifrado de los delincuentes, que teóricamente debería restaurar todos los archivos a su estado original. Sin embargo, en realidad, los informes sugieren que el descifrador de ProLock está corrompiendo algunos de los archivos más grandes.
Además de sufrir las pérdidas financieras (que dependen del objetivo pero nunca son insignificantes), las víctimas de ProLock también pierden sus datos, lo que una vez más resalta los riesgos asociados con la negociación con los delincuentes. Asegúrese de que su organización realice copias de seguridad de los archivos regularmente y no alimente el negocio de los cibercriminales cumpliendo con las demandas de los operadores de ransomware.
