A ProLock Ransomware partnerei a Qakbot-val a vállalati hálózatok megtámadására

ProLock Partners With Qakbot

A ProLock egy viszonylag új név a ransomware jelenetben, és ennek fényében nem meglepő, hogy a mögötte álló emberek inkább inkább a vállalatok ütése, mint az egyes felhasználók. Egy ideje a hangsúly eltűnt a Joe Average-től, és egyenesen a vállalkozásokra, a pénzügyi intézményekre, a kormányra és még az egészségügyi szervezetekre helyezte a hangsúlyt, és legalább egyelőre úgy tűnik, hogy nem tér vissza. A különböző célok azonban különböző kihívásokat jelentenek, és az egyik fő a kezdeti fertőzésvektor.

A múltban a ransomware fertőzéslánc elég egyértelmű volt. Egy nagy botnet hatalmas számú spam e-mailt bocsát ki. Rájuk csatolták a makrokötéssel ellátott Word-dokumentumokat, amelyeket a felhasználók néhány szociális mérnöki trükköknek köszönhetően nyithatnak meg. A rosszindulatú fájlok csendesen telepítik a ransomware szoftvert, és elkezdenek a zsarolás. Az egyéni felhasználók számára ez nagyon jól működik, de vállalati környezetben az alkalmazottak valószínűleg jobban képzettek, és a spamszűrők valószínűleg szigorúbbak, amelyek mindegyike megakadályozhatja az ilyen támadásokat.

Ennek eredményeként a ransomware operátorok kénytelenek más módszereket keresni a célpontjaik hálózatának veszélyeztetésére. A ProLock ransomware szoftvereket futtató emberek nyilvánvalóan megtalálták a választ egy másik rosszindulatú programcsaládban, a Qakbot-ban.

A ProLock a Qakbotot használja csepegtetőként

Tegnap a ZDNet megosztott egy FBI-riasztással a hónap elején, amely szerint a ProLock Qakbot segítségével veszélyezteti áldozatainak néhány hálózatát. A múlt héten az IB csoport kutatói megerősítették, hogy ők is láthatták a Qakbot telepíteni a ProLock-ot feltört rendszerekre. Ez azt jelentheti, hogy a Qakbotot kifejlesztett emberek szintén felelősek a ProLockért, de az igazság az, hogy a partnerség két egymással független kibertermelési banda közötti megállapodás eredménye lehet.

Egy dolog biztos - a Qakbot csepegtetőként történő használatának mindenképpen megvannak az előnyei. Míg a ProLock még mindig megpróbálja nevezni magát, a Qakbot máris rengeteg számítógépet megfertőzött a világ minden tájáról, ami azt jelenti, hogy a ransomware operátorok megkímélhetik meggyőző adathalász kampányok létrehozását vagy érzékeny RDP-konfigurációk keresését. Ezen felül a Qakbot okos észlelési mechanizmussal rendelkezik, és segíthet a ProLock működésének nagyon fontos részében is.

Mint már hallottál is, sok ransomware személyzet most az adatok ellopása mellett titkosítja azokat. Ilyen módon, még akkor is, ha a célpont nem hajlandó fizetni a dekódolóért, a csalók továbbra is azzal fenyegethetnek, hogy kiszivárogtatják az érzékeny információkat, kivéve ha váltságdíjat fizetnek. A ProLock rendelkezik saját adatkifiltráció mechanizmusokkal, de a Qakbot keylogging és jelszavak ellopásának képességeinek köszönhetően a megfejtött információk mennyisége sokkal nagyobb lehet. A szakemberek nem rámutattak arra, hogy a partnerség kiterjed-e a kezdeti telepítésen túl, de a Qakbot csak segíthet a ProLock oldalirányú mozgatásában a veszélyeztetett hálózaton belül is.

Összességében a ProLock összeállt egy nagyon fejlett rosszindulatú programmal. Ami egyébként több, mint maga a ProLock.

A ProLock ransomware nehezen született

A ProLock első inkarnációját PwndLockernek hívták. 2019 végén jelent meg, és azonnal elkezdett pusztítani. Néhány címsor megragadása után a PwndLocker felhívta az Emsisoft kutatóinak figyelmét, akik gyorsan hibát találtak a ransomware titkosítási mechanizmusában. Március elején a biztonsági szakértők kiadtak egy ingyenes dekódolót a PwndLocker áldozatok számára.

A csalók visszatértek a kódjukhoz, kijavították a hibát, és új nevüket adták a ransomware-nek a ProLock-hoz. A kutatóknak még nem sikerült megtalálniuk a javított titkosítási mechanizmus legyőzésének módját, de sajnos a ProLock bandanak szintén nehézségei vannak a váltságdíjat kifizető vállalatok adatainak helyreállítása során.

Amikor a vállalatok elkezdik a zsarolási kísérleteket, és átadják a bitcoinokat, akkor egy kriptográfiai programot kapnak a csalóktól, amelynek elméletileg vissza kell állítania az összes fájlt az eredeti állapotukba. A valóságban azonban a jelentések arra utalnak, hogy a ProLock dekódolója megsértette a nagyobb fájlokat.

A pénzügyi veszteségek (a céltól függő, de soha nem jelentéktelenek) elszenvedése mellett a ProLock áldozatai elveszítik adataikat is, ami ismét rávilágít a csalókkal folytatott tárgyalások kockázataira. Ügyeljen arra, hogy szervezete rendszeresen biztonsági másolatot készítsen a fájlokról, és ne táplálja a számítógépes bűnözők üzletét azáltal, hogy megfelel a ransomware operátorok igényeinek.

May 19, 2020
Betöltés...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.