Gli operatori ProLock Ransomware inviano decriptatori difettosi alle vittime che pagano il riscatto
Come probabilmente molti di voi sanno, non tutti i ransomware sono creati uguali. Alcune famiglie sono create da giovani hacker inesperti che prendono in prestito gran parte del loro codice da repository aperti. Spesso commettono errori durante l'implementazione dei singoli componenti e finiscono con esempi di ransomware che non rappresentano una minaccia. Al contrario, altre famiglie di malware con crittografia dei file sono progettate e costruite da sofisticati team di hacker che dispongono di una quantità quasi illimitata di risorse.
ProLock è un nome relativamente nuovo sulla scena del ransomware. Ha preso alcuni titoli negli ultimi mesi e sarà interessante vedere se si tratta di una delle minacce più sofisticate o se è stata messa insieme da un gruppo di dilettanti.
Table of Contents
ProLock: una seria minaccia per le organizzazioni di ogni forma e dimensione
I ricercatori di Sophos hanno recentemente deciso di dare un'occhiata più da vicino a ProLock dopo che uno dei loro clienti ne è stato colpito. È diventato subito evidente che non è il lavoro dei cosiddetti script kiddies.
Nel caso dell'attacco indagato da Sophos, il punto di ingresso iniziale era un server RDP mal configurato che gli hacker avevano sfruttato. Dopo aver compromesso la vittima, hanno raccolto ulteriori informazioni sulla rete in cui si trovavano e in seguito hanno utilizzato un elenco di credenziali rubate per spostarsi su di essa. L'effettiva operazione ransomware inizia con il posizionamento di quattro file nella cartella% ProgramData% dell'host.
C'è un'immagine BMP, un file XML e un paio di file batch. Il primo file batch imposta un'attività pianificata utilizzando i parametri impostati nel documento XML. L'attività pianificata esegue il secondo file batch, che a sua volta estrae il payload del ransomware codificato nell'immagine BMP mediante la steganografia.
Prima di crittografare i dati, ProLock termina alcuni processi per garantire che vengano aperti meno file durante la fase di crittografia. Quando ha finito di mescolare le informazioni, ProLock rilascia una nota di riscatto completa di un ID utente e un collegamento a un sito Web ospitato da Tor in cui le vittime possono ottenere maggiori informazioni sulle richieste degli hacker.
Finora, tutto sembra fatto in modo molto professionale e avanzato. Quando i ricercatori hanno esaminato alcuni campioni, tuttavia, hanno visto che sebbene parti del codice fossero personalizzate per le singole vittime, gli ID utente erano codificati e non erano univoci. Questo era strano. Ciò che era più strano, tuttavia, era il modo in cui ProLock crittografa i file.
I decryptor di ProLock non funzionano
ProLock non crittografa file di dimensioni inferiori a 8 KB. Per quelli più grandi, avvia il processo di crittografia con il nono kilobyte. Di conseguenza, se apri un file che il ransomware ha già crittografato, vedrai che le sue prime parti rimangono in forma leggibile.
I ricercatori di Sophos pensano che questo sia il motivo per cui i decryptor di ProLock non funzionano. Sono stati segnalati programmi di decrittazione difettosi forniti dagli operatori ProLock da un po 'di tempo, ma questa è la prima volta che vediamo una spiegazione tecnica del problema. Il rapporto di Sophos suggerisce che gli specialisti della sicurezza potrebbero essere in grado di recuperare i dati solo dopo aver modificato il decryptor difettoso, ma sottolineano che non sarà economico.
È l'ennesima prova del perché non dovresti mai fare affari con i criminali informatici. Ma ora che sappiamo tutti dove si trova il problema, con quale probabilità gli operatori ProLock possono risolverlo?
La banda ProLock risolverà i propri decryptor?
D'ora in poi, le potenziali vittime che potrebbero essere disturbate a fare una semplice ricerca su Google sapranno che anche se pagano il riscatto, potrebbero non recuperare i loro dati. Avranno meno probabilità di collaborare e potresti pensare che ciò potrebbe consentire agli operatori di ransomware di aggiornare il loro meccanismo di crittografia e risolvere il problema. Il fatto è che il decryptor funzioni o meno potrebbe fare poca differenza per loro.
Poiché le aziende mantengono ora il backup dei propri dati, pagare il riscatto non è più l'unico modo per recuperarlo in caso di attacco ransomware. L'anno scorso, le bande criminali informatiche che hanno preso di mira le organizzazioni hanno capito di aver bisogno di un secondo punto di estorsione e hanno iniziato a rubare informazioni prima di crittografarle. In questo modo, quando una vittima rifiuta di pagare per un decryptor, i truffatori possono minacciare di perdere tonnellate di dati sensibili. Molti equipaggi di ransomware lo hanno fatto e ora stiamo iniziando a vedere che funziona.
Il rapporto di Sophos afferma che la banda di ProLock non ha ancora adottato la strategia, ma ha sottolineato che possono farlo in qualsiasi momento. Le organizzazioni che potrebbero essere prese di mira da questo particolare ransomware dovrebbero essere consapevoli della minaccia e devono prendere le precauzioni necessarie per rafforzare le loro reti.
