ProLock Ransomware collabora con Qakbot per attaccare le reti aziendali

ProLock è un nome relativamente nuovo sulla scena del ransomware e, alla luce di ciò, non sorprende che le persone dietro di essa siano più interessate a colpire le aziende piuttosto che i singoli utenti. Qualche tempo fa, l'attenzione è stata spostata da Joe Average ed è stata posta esattamente su aziende, istituzioni finanziarie, governo e persino organizzazioni sanitarie, e per il momento, almeno, sembra che non ci possa tornare indietro. I diversi obiettivi presentano tuttavia diverse sfide e uno dei principali è il vettore di infezione iniziale.

In passato, la catena di infezione dei ransomware era piuttosto semplice. Una grande botnet genererebbe un numero enorme di e-mail di spam. Allegati a loro sarebbero documenti Word con macro-lacci, che gli utenti avrebbero aperto grazie ad alcuni trucchi di social engineering. I file dannosi installerebbero silenziosamente il ransomware e inizierebbe l'operazione di estorsione. Per i singoli utenti, funziona molto bene, ma in un ambiente aziendale è probabile che i dipendenti siano meglio formati e che i filtri antispam siano più severi, il che potrebbe contrastare tali attacchi.

Di conseguenza, gli operatori di ransomware sono costretti a cercare altri modi per compromettere le reti dei loro target. Le persone che eseguono il ransomware ProLock hanno apparentemente trovato la risposta in un'altra famiglia di malware chiamata Qakbot.

ProLock utilizza Qakbot come contagocce

Ieri, ZDNet ha condiviso un avviso flash dell'FBI all'inizio di questo mese secondo il quale ProLock compromette alcune delle reti delle sue vittime con l'aiuto di Qakbot. La scorsa settimana, i ricercatori del Group-IB hanno confermato che anche loro hanno visto Qakbot installare ProLock su sistemi compromessi. Ciò potrebbe significare che le persone che hanno sviluppato Qakbot sono anche responsabili di ProLock, ma la verità è che la partnership potrebbe anche essere il risultato di un accordo tra due bande criminali informatiche non correlate.

Una cosa è certa: l'uso di Qakbot come contagocce ha sicuramente i suoi vantaggi. Mentre ProLock sta ancora cercando di farsi un nome, Qakbot ha già infettato molti computer in tutto il mondo, il che significa che gli operatori di ransomware possono risparmiare il compito di creare campagne di phishing convincenti o cercare configurazioni RDP vulnerabili. Oltre a ciò, Qakbot ha meccanismi intelligenti di evasione del rilevamento e potrebbe anche aiutare una parte molto importante del funzionamento di ProLock.

Come avrai già sentito, molti equipaggi di ransomware ora rubano i dati oltre a crittografarli. In questo modo, anche se l'obiettivo rifiuta di pagare per un decrittatore, i truffatori possono comunque minacciare di perdere le informazioni sensibili a meno che non venga pagato un riscatto. ProLock ha i suoi meccanismi di esfiltrazione dei dati, ma grazie alle funzionalità di keylogging e furto di password di Qakbot, la quantità di informazioni rubate potrebbe essere molto più sostanziale. Gli specialisti non hanno sottolineato se la partnership si estende oltre l'installazione iniziale, ma Qakbot potrebbe solo essere in grado di aiutare ProLock a spostarsi lateralmente all'interno della rete compromessa.

Tutto sommato, ProLock ha collaborato con un malware molto avanzato. Il che, a proposito, è più di quanto si possa dire su ProLock stesso.

Il ransomware ProLock ha avuto una nascita difficile

La prima incarnazione di ProLock in realtà si chiamava PwndLocker. È apparso alla fine del 2019 e ha immediatamente iniziato a scatenare un po 'di caos. Dopo aver preso alcuni titoli, PwndLocker ha attirato l'attenzione dei ricercatori di Emsisoft, che hanno rapidamente trovato un errore nel meccanismo di crittografia del ransomware. All'inizio di marzo, gli esperti di sicurezza hanno rilasciato un decriptatore gratuito per le vittime di PwndLocker.

I truffatori tornarono al loro codice, ripararono l'errore e diedero al loro ransomware un nuovo nome: ProLock. I ricercatori devono ancora trovare un modo per battere il meccanismo di crittografia riparato, ma sfortunatamente, anche la banda ProLock sembra avere problemi a ripristinare i dati delle aziende che hanno pagato il riscatto.

Quando le aziende cedono ai tentativi di estorsione e trasferiscono i bitcoin, ricevono un programma di decrittazione dai truffatori, che dovrebbe teoricamente ripristinare tutti i file al loro stato originale. In realtà, tuttavia, i rapporti suggeriscono che il decriptatore di ProLock sta corrompendo alcuni dei file più grandi.

Oltre a subire le perdite finanziarie (che dipendono dall'obiettivo ma non sono mai insignificanti), le vittime di ProLock perdono anche i loro dati, il che evidenzia ancora una volta i rischi associati alla negoziazione con i truffatori. Assicurati che il backup della tua organizzazione sia regolarmente archiviato e non alimentare il business dei criminali informatici rispettando le richieste degli operatori di ransomware.