ProLock Ransomware samarbeider med Qakbot for å angripe bedriftsnettverk

ProLock er et relativt nytt navn på ransomware-scenen, og i lys av dette er det ingen overraskelse at menneskene bak det er mer interessert i å treffe selskaper fremfor individuelle brukere. For en stund siden ble fokuset flyttet bort fra Joe Average og ble plassert firkantet på bedrifter, finansinstitusjoner, myndigheter og til og med helseorganisasjoner, og foreløpig ser det ut til at det ikke er noe å gå tilbake til. De forskjellige målene byr imidlertid på forskjellige utfordringer, og et av de viktigste er den første infeksjonsvektoren.

I det siste var ransomware-infeksjonskjeden ganske grei. Et stort botnet ville avfyrt et enormt antall spam-e-poster. Knyttet til dem ville være makro-snørde Word-dokumenter, som brukerne vil åpne takket være noen triks for sosial ingeniørarbeid. De ondsinnede filene ville stille installere ransomware, og utpressingsoperasjonen ville begynne. For enkeltbrukere fungerer dette veldig bra, men i et bedriftsmiljø vil de ansatte trolig bli bedre trent, og spamfiltrene vil sannsynligvis være strengere, alt dette kan hindre slike angrep.

Som et resultat blir ransomware-operatører tvunget til å lete etter andre måter å kompromittere målene sine nettverk. Personene som kjører ransomware for ProLock har tilsynelatende funnet svaret i en annen skadelig familie som heter Qakbot.

ProLock bruker Qakbot som en dropper

I går delte ZDNet et FBI- blitsvarsel fra tidligere denne måneden hvor ProLock kompromitterer noen av sine ofrenes nettverk med Qakbots hjelp. Forrige uke bekreftet forskere fra Group-IB at de også har sett Qakbot installere ProLock på hacket systemer. Dette kan bety at menneskene som har utviklet Qakbot også er ansvarlige for ProLock, men sannheten er at partnerskapet også kan være et resultat av en avtale mellom to ikke-relaterte nettkriminelle gjenger.

En ting er sikkert - bruken av Qakbot som dropper har definitivt sine fordeler. Mens ProLock fremdeles prøver å lage et navn for seg selv, har Qakbot allerede infisert ganske mange datamaskiner over hele verden, noe som betyr at ransomware-operatørene kan skånes for å lage overbevisende phishing-kampanjer eller se etter sårbare RDP-konfigurasjoner. I tillegg til dette har Qakbot smarte deteksjonsundvikelsesmekanismer, og det kan også hjelpe med en veldig viktig del av ProLocks drift.

Som du kanskje allerede har hørt, stjeler mange ransomware-mannskaper nå data i tillegg til å kryptere det. På den måten, selv om målet nekter å betale for en dekrypter, kan skurkene fremdeles true med å lekke den sensitive informasjonen med mindre det løses løsepenger. ProLock har sine egne datautfiltreringsmekanismer, men takket være Qakbots keylogging- og passordstelingfunksjoner, kan mengden hentet informasjon være mye mer betydelig. Spesialistene påpekte ikke om partnerskapet spenner over den opprinnelige installasjonen, men Qakbot kan kanskje bare hjelpe ProLock til å bevege seg sideveis i det kompromitterte nettverket også.

Alt i alt har ProLock gått sammen med et veldig avansert stykke malware. Noe som for øvrig er mer enn det som kan sies om ProLock selv.

ProLock ransomware har hatt en vanskelig fødsel

ProLocks første inkarnasjon ble egentlig kalt PwndLocker. Det dukket opp på slutten av 2019, og det begynte med en gang å ødelegge noen ødeleggelser. Etter å ha grepet noen få overskrifter, fanget PwndLocker oppmerksomheten fra forskere fra Emsisoft, som raskt fant en feil i ransomwarens krypteringsmekanisme. I begynnelsen av mars ga sikkerhetsekspertene ut en gratis dekrypter for PwndLocker-ofre.

Crooks gikk tilbake til koden sin, fikset feilen og ga ransomware deres et nytt navn - ProLock. Forskerne har ennå ikke funnet en måte å slå den reparerte krypteringsmekanismen på, men dessverre ser det ut til at ProLock-gjengen også har problemer med å gjenopprette data fra selskaper som har betalt løsepenger.

Når selskaper gir etter utpressingsforsøkene og overfører bitcoins, mottar de et dekrypteringsprogram fra kjeltringene, som teoretisk sett skal gjenopprette alle filene tilbake til sin opprinnelige tilstand. I virkeligheten antyder imidlertid rapporter at ProLocks dekrypter ødelegger noen av de større filene.

I tillegg til å lide de økonomiske tapene (som avhenger av målet, men aldri er ubetydelige), mister ProLock-ofrene også dataene sine, noe som igjen belyser risikoen forbundet med å forhandle med kjeltringer. Forsikre deg om at organisasjonen din tar sikkerhetskopi av filer regelmessig, og ikke drivstoff til nettkriminellers virksomhet ved å oppfylle kravene til ransomware-operatørene.