A ProLock Ransomware partnerei a Qakbot-val a vállalati hálózatok megtámadására

A ProLock egy viszonylag új név a ransomware jelenetben, és ennek fényében nem meglepő, hogy a mögötte álló emberek inkább inkább a vállalatok ütése, mint az egyes felhasználók. Egy ideje a hangsúly eltűnt a Joe Average-től, és egyenesen a vállalkozásokra, a pénzügyi intézményekre, a kormányra és még az egészségügyi szervezetekre helyezte a hangsúlyt, és legalább egyelőre úgy tűnik, hogy nem tér vissza. A különböző célok azonban különböző kihívásokat jelentenek, és az egyik fő a kezdeti fertőzésvektor.

A múltban a ransomware fertőzéslánc elég egyértelmű volt. Egy nagy botnet hatalmas számú spam e-mailt bocsát ki. Rájuk csatolták a makrokötéssel ellátott Word-dokumentumokat, amelyeket a felhasználók néhány szociális mérnöki trükköknek köszönhetően nyithatnak meg. A rosszindulatú fájlok csendesen telepítik a ransomware szoftvert, és elkezdenek a zsarolás. Az egyéni felhasználók számára ez nagyon jól működik, de vállalati környezetben az alkalmazottak valószínűleg jobban képzettek, és a spamszűrők valószínűleg szigorúbbak, amelyek mindegyike megakadályozhatja az ilyen támadásokat.

Ennek eredményeként a ransomware operátorok kénytelenek más módszereket keresni a célpontjaik hálózatának veszélyeztetésére. A ProLock ransomware szoftvereket futtató emberek nyilvánvalóan megtalálták a választ egy másik rosszindulatú programcsaládban, a Qakbot-ban.

A ProLock a Qakbotot használja csepegtetőként

Tegnap a ZDNet megosztott egy FBI-riasztással a hónap elején, amely szerint a ProLock Qakbot segítségével veszélyezteti áldozatainak néhány hálózatát. A múlt héten az IB csoport kutatói megerősítették, hogy ők is láthatták a Qakbot telepíteni a ProLock-ot feltört rendszerekre. Ez azt jelentheti, hogy a Qakbotot kifejlesztett emberek szintén felelősek a ProLockért, de az igazság az, hogy a partnerség két egymással független kibertermelési banda közötti megállapodás eredménye lehet.

Egy dolog biztos - a Qakbot csepegtetőként történő használatának mindenképpen megvannak az előnyei. Míg a ProLock még mindig megpróbálja nevezni magát, a Qakbot máris rengeteg számítógépet megfertőzött a világ minden tájáról, ami azt jelenti, hogy a ransomware operátorok megkímélhetik meggyőző adathalász kampányok létrehozását vagy érzékeny RDP-konfigurációk keresését. Ezen felül a Qakbot okos észlelési mechanizmussal rendelkezik, és segíthet a ProLock működésének nagyon fontos részében is.

Mint már hallottál is, sok ransomware személyzet most az adatok ellopása mellett titkosítja azokat. Ilyen módon, még akkor is, ha a célpont nem hajlandó fizetni a dekódolóért, a csalók továbbra is azzal fenyegethetnek, hogy kiszivárogtatják az érzékeny információkat, kivéve ha váltságdíjat fizetnek. A ProLock rendelkezik saját adatkifiltráció mechanizmusokkal, de a Qakbot keylogging és jelszavak ellopásának képességeinek köszönhetően a megfejtött információk mennyisége sokkal nagyobb lehet. A szakemberek nem rámutattak arra, hogy a partnerség kiterjed-e a kezdeti telepítésen túl, de a Qakbot csak segíthet a ProLock oldalirányú mozgatásában a veszélyeztetett hálózaton belül is.

Összességében a ProLock összeállt egy nagyon fejlett rosszindulatú programmal. Ami egyébként több, mint maga a ProLock.

A ProLock ransomware nehezen született

A ProLock első inkarnációját PwndLockernek hívták. 2019 végén jelent meg, és azonnal elkezdett pusztítani. Néhány címsor megragadása után a PwndLocker felhívta az Emsisoft kutatóinak figyelmét, akik gyorsan hibát találtak a ransomware titkosítási mechanizmusában. Március elején a biztonsági szakértők kiadtak egy ingyenes dekódolót a PwndLocker áldozatok számára.

A csalók visszatértek a kódjukhoz, kijavították a hibát, és új nevüket adták a ransomware-nek a ProLock-hoz. A kutatóknak még nem sikerült megtalálniuk a javított titkosítási mechanizmus legyőzésének módját, de sajnos a ProLock bandanak szintén nehézségei vannak a váltságdíjat kifizető vállalatok adatainak helyreállítása során.

Amikor a vállalatok elkezdik a zsarolási kísérleteket, és átadják a bitcoinokat, akkor egy kriptográfiai programot kapnak a csalóktól, amelynek elméletileg vissza kell állítania az összes fájlt az eredeti állapotukba. A valóságban azonban a jelentések arra utalnak, hogy a ProLock dekódolója megsértette a nagyobb fájlokat.

A pénzügyi veszteségek (a céltól függő, de soha nem jelentéktelenek) elszenvedése mellett a ProLock áldozatai elveszítik adataikat is, ami ismét rávilágít a csalókkal folytatott tárgyalások kockázataira. Ügyeljen arra, hogy szervezete rendszeresen biztonsági másolatot készítsen a fájlokról, és ne táplálja a számítógépes bűnözők üzletét azáltal, hogy megfelel a ransomware operátorok igényeinek.