ProLockランサムウェアがQakbotと提携して企業ネットワークを攻撃

ProLock Partners With Qakbot

ProLockはランサムウェアのシーンでは比較的新しい名前であり、これを踏まえると、その背後にいる人々が個人のユーザーよりも企業を攻撃することに関心を持っているのは当然のことです。しばらく前に、焦点はジョー・アベレージから離れ、企業、金融機関、政府、さらにはヘルスケア組織に真っ向から置かれました。そして、しばらくの間、少なくとも後戻りはないようです。ただし、ターゲットが異なれば、課題も異なり、主なものの1つは初期感染ベクターです。

以前は、ランサムウェアの感染チェーンは非常に単純でした。大規模なボットネットは、膨大な数のスパムメールを配信します。それらに添付されるのは、ユーザーがいくつかのソーシャルエンジニアリングトリックのおかげで開くマクロレースのWord文書です。悪意のあるファイルがサイレントにランサムウェアをインストールし、恐喝操作が始まります。個人ユーザーの場合、これは非常にうまく機能しますが、企業環境では、従業員はよりよく訓練されている可能性が高く、スパムフィルターはより厳格である可能性が高く、これらすべてがそのような攻撃を阻止する可能性があります。

その結果、ランサムウェアオペレーターは、ターゲットのネットワークを危険にさらす他の方法を探す必要があります。 ProLockランサムウェアを実行している人々は、Qakbotと呼ばれる別のマルウェアファミリで答えを見つけたようです。

ProLockはドロッパーとしてQakbotを使用します

昨日、 ZDNetは今月初めのFBIフラッシュアラートを共有しました。これによると、ProLockはQakbotの助けを借りて被害者のネットワークの一部を侵害しています。先週、 Group-IBの研究者たちは、ハックされたシステムにQakbotがProLockをインストールするのを見たことも確認しました。これは、Qakbotを開発した人々がProLockにも責任があることを意味するかもしれませんが、実際には、パートナーシップは2つの無関係なサイバー犯罪グループ間の合意の結果である可能性もあります。

確かなことが1つあります。ドロッパーとしてQakbotを使用すると、確実にその利点があります。 ProLockはまだ名を馳せていますが、Qakbotはすでに世界中の多くのコンピューターに感染しています。つまり、ランサムウェアのオペレーターは、説得力のあるフィッシングキャンペーンを作成したり、脆弱なRDP構成を探したりする手間を省くことができます。これに加えて、Qakbotには巧妙な検出回避メカニズムがあり、ProLockの操作の非常に重要な部分にも役立ちます。

すでに聞いたように、多くのランサムウェアクルーが暗号化に加えてデータを盗みます。このように、ターゲットが解読者への支払いを拒否した場合でも、身代金が支払われない限り、詐欺師は依然として機密情報を漏洩する恐れがあります。 ProLockには独自のデータ漏えいメカニズムがありますが、Qakbotのキーロギング機能とパスワード盗用機能のおかげで、盗まれた情報の量ははるかに多くなる可能性があります。スペシャリストは、パートナーシップが初期インストールを超えているかどうかについては触れていませんでしたが、Qakbotは、侵害されたネットワーク内でProLockを横方向に移動させることもできるかもしれません。

全体として、ProLockは非常に高度なマルウェアとチームを組んでいます。ちなみに、これはProLock自体について言うことができる以上のものです。

ProLockランサムウェアの誕生は困難でした

ProLockの最初の化身は、実際にはPwndLockerと呼ばれていました。それは2019年後半に登場し、すぐに大混乱を引き起こし始めました。いくつかの見出しをつかんだ後、PwndLockerはランサムウェアの暗号化メカニズムにエラーをすばやく見つけたEmsisoftの研究者の注意を引きました。 3月の初めに、セキュリティの専門家はPwndLockerの犠牲者向けの無料の解読プログラムをリリースしました。

詐欺師はコードに戻ってエラーを修正し、ランサムウェアに新しい名前ProLockを付けました。研究者たちは改造された暗号化メカニズムを打ち破る方法をまだ見つけていませんが、残念ながらProLockギャングは身代金を支払った企業のデータを復元するのに問題を抱えているようです。

企業が強要の試みに屈してビットコインを転送すると、詐欺師から解読プログラムを受け取り、理論的にはすべてのファイルを元の状態に復元します。ただし、実際には、ProLockの復号化プログラムが一部の大きなファイルを破損していると報告されています。

金銭的な損失(ターゲットによって異なりますが、取るに足らないことはありません)に加えて、ProLockの被害者はデータも失います。これもまた、詐欺師との交渉に関連するリスクを浮き彫りにします。組織が定期的にファイルをバックアップし、ランサムウェアオペレーターの要求に準拠することでサイバー犯罪者のビジネスを活性化しないことを確認してください。

May 19, 2020

返信を残す