„ProLock Ransomware“ partneriai su „Qakbot“ atakuoja įmonių tinklus

„ProLock“ yra palyginti naujas vardas „ransomware“ scenoje, ir, atsižvelgiant į tai, nenuostabu, kad už jo esantys žmonės yra labiau suinteresuoti pataikyti korporacijoms, o ne pavieniams vartotojams. Prieš kurį laiką dėmesys buvo nukreiptas ne į „Joe Average“ ir buvo nukreiptas ties verslu, finansų įstaigomis, vyriausybe ir net sveikatos priežiūros organizacijomis, ir bent jau kol kas panašu, kad atgal nebebus. Tačiau skirtingi tikslai kelia skirtingus iššūkius, ir vienas iš pagrindinių yra pradinis infekcijos užkratas.

Anksčiau ransomware infekcijos grandinė buvo gana paprasta. Didelis robotukas pašalins daugybę nepageidaujamų el. Laiškų. Prie jų bus pridėti „Word“ makrokomandos dokumentai, kuriuos vartotojai galėtų atidaryti naudodamiesi kai kuriomis socialinės inžinerijos gudrybėmis. Kenkėjiški failai tyliai įdėtų išpirkos programas, ir būtų pradėta turto prievartavimo operacija. Individualiems vartotojams tai veikia labai gerai, tačiau verslo aplinkoje darbuotojai greičiausiai bus geriau apmokyti, o šlamšto filtrai greičiausiai bus griežtesni - visa tai galėtų sustabdyti tokias atakas.

Dėl to išpirkos programinės įrangos operatoriai yra priversti ieškoti kitų būdų, kaip pakenkti savo taikinių tinklams. ProLock išpirkos programas valdantys žmonės, matyt, rado atsakymą kitoje kenkėjiškų programų šeimoje, vadinamoje „Qakbot“.

„ProLock“ naudoja „Qakbot“ kaip lašintuvą

Vakar „ ZDNet“ pasidalino FTB žaibišku įspėjimu iš šio mėnesio pradžios, pagal kurį „ProLock“ kompromituoja kai kuriuos savo aukų tinklus, naudodamas „Qakbot“. Praėjusią savaitę IB grupės tyrėjai patvirtino, kad jie taip pat matė, kaip „Qakbot“ diegia „ProLock“ į nulaužtas sistemas. Tai gali reikšti, kad „Qakbot“ sukūrę žmonės taip pat yra atsakingi už „ProLock“, tačiau tiesa ta, kad partnerystė taip pat gali būti dviejų nesusijusių kibernetinių nusikaltėlių gaujų susitarimo rezultatas.

Vienas dalykas yra tikras - „Qakbot“ naudojimas kaip lašintuvas neabejotinai turi savo privalumų. Nors „ProLock“ vis dar bando užsitikrinti savo vardą, „Qakbot“ jau užkrėtė gana daug kompiuterių visame pasaulyje, o tai reiškia, kad išpirkos programų operatoriams gali nepakenkti įpročiai kurti įtikinamas sukčiavimo kampanijas ar ieškoti pažeidžiamų KPP konfigūracijų. Be viso to, „Qakbot“ turi sumanius aptikimo vengimo mechanizmus, kurie taip pat galėtų padėti atliekant labai svarbią „ProLock“ operacijos dalį.

Kaip jau girdėjote, dabar daugelis išpirkos programų ekipažų vagia duomenis, be to, kad juos ir užšifruotų. Tokiu būdu, net jei taikinys atsisako mokėti už iššifruotoją, sukčiai vis tiek gali grasinti nutekinti neskelbtiną informaciją, jei nebus sumokėta išpirka. „ProLock“ turi savo duomenų filtravimo mechanizmus, tačiau dėka „Qakbot“ slaptažodžių kaupimo ir slaptažodžių vogimo galimybių, paviešintos informacijos kiekis gali būti žymiai didesnis. Specialistai nenurodė, ar partnerystė tęsiasi po pradinio diegimo, tačiau galbūt „Qakbot“ gali padėti „ProLock“ judėti į šoną taip, kad būtų pažeistas tinklas.

Apskritai, „ProLock“ sujungė labai pažangias kenkėjiškų programų dalis. Kuris, beje, yra daugiau nei galima pasakyti apie patį „ProLock“.

„ProLock“ išpirkos programinė įranga gimė sunkiai

Pirmasis „ProLock“ įsikūnijimas iš tikrųjų buvo vadinamas „PwndLocker“. Jis pasirodė 2019 m. Pabaigoje ir iškart ėmėsi sugadinti. Suėmęs keletą antraščių, „PwndLocker“ patraukė „Emsisoft“ tyrėjų dėmesį, kurie greitai rado klaidą „ransomware“ šifravimo mechanizme. Kovo pradžioje saugumo ekspertai išleido nemokamą „PwndLocker“ aukų dešifratorių.

Sukčiai grįžo prie savo kodo, ištaisė klaidą ir davė savo išpirkos programoms naują pavadinimą - „ProLock“. Tyrėjai dar turi rasti būdą, kaip įveikti pataisytą šifravimo mechanizmą, tačiau, deja, taip pat atrodo, kad „ProLock“ gauja susiduria su problemomis atkurdama išpirką sumokėjusių įmonių duomenis.

Kai įmonės atsiduria bandymams turto prievartauti ir perduoti bitkoinus, jos gauna sukčiavimo programą, kuri teoriškai turėtų atkurti visus failus į pradinę būseną. Tačiau iš tikrųjų ataskaitose teigiama, kad „ProLock“ iššifruotojas sugadino kai kuriuos didesnius failus.

„ProLock“ aukos ne tik patiria finansinių nuostolių (kurie priklauso nuo tikslo, bet niekada nėra nereikšmingi), todėl jie praranda ir savo duomenis, kurie dar kartą pabrėžia riziką, susijusią su derybomis su sukčiais. Įsitikinkite, kad jūsų organizacija reguliariai sukuria atsarginę failų kopiją, ir nepapildykite kibernetinių nusikaltėlių verslo, vykdydami išpirkos programų operatorių reikalavimus.