De ProLock Ransomware-operators sturen defecte decryptors naar slachtoffers die het losgeld betalen

ProLock Ransomware Faulty Decryptor

Zoals de meesten van jullie waarschijnlijk weten, is niet alle ransomware gelijk gemaakt. Sommige families zijn geschreven door jonge, onervaren hackers die het grootste deel van hun code lenen uit open opslagplaatsen. Vaak maken ze fouten tijdens de implementatie van de afzonderlijke componenten en eindigen ze met ransomware-voorbeelden die niet zo'n grote bedreiging vormen. Andere malwarefamilies die bestanden versleutelen, worden daarentegen ontworpen en gebouwd door geavanceerde teams van hackers die over een vrijwel onbeperkte hoeveelheid middelen beschikken.

ProLock is een relatief nieuwe naam in de ransomware-scene. Het heeft de afgelopen maanden de krantenkoppen gehaald en het zal interessant zijn om te zien of het een van de meer geavanceerde bedreigingen is of dat het is samengesteld door een groep amateurs.

ProLock - een serieuze bedreiging voor organisaties in alle soorten en maten

Onderzoekers van Sophos hebben onlangs besloten om ProLock nader te bekijken nadat een van hun klanten erdoor getroffen was. Het werd meteen duidelijk dat dit niet het werk is van de zogenaamde scriptkiddies.

In het geval van de aanval die Sophos onderzocht, was het eerste toegangspunt een slecht geconfigureerde RDP-server die door de hackers werd misbruikt. Nadat ze het slachtoffer hadden gecompromitteerd, verzamelden ze wat meer informatie over het netwerk waarin ze zich bevonden, en later gebruikten ze een lijst met gestolen inloggegevens om eroverheen te gaan. De daadwerkelijke ransomware-operatie begint met het plaatsen van vier bestanden in de map% ProgramData% van de host.

Er is een BMP-afbeelding, een XML-bestand en een paar batchbestanden. Het eerste batchbestand stelt een geplande taak in met behulp van de parameters die zijn ingesteld in het XML-document. De geplande taak voert het tweede batchbestand uit, dat op zijn beurt de payload van ransomware extraheert die in de BMP-afbeelding is gecodeerd met behulp van steganografie.

Voordat ProLock de gegevens versleutelt, beëindigt het bepaalde processen om ervoor te zorgen dat er tijdens de versleutelingsfase minder bestanden worden geopend. Als het klaar is met het door elkaar halen van de informatie, laat ProLock een losgeldbrief achter, compleet met een gebruikers-ID en een link naar een door Tor gehoste website waar slachtoffers meer informatie kunnen krijgen over de eisen van de hackers.

Tot nu toe ziet alles er zeer professioneel en geavanceerd uit. Toen de onderzoekers echter naar een paar voorbeelden keken, zagen ze dat hoewel delen van de code waren toegesneden op individuele slachtoffers, de gebruikers-ID's hard gecodeerd waren en niet uniek waren. Dit was raar. Wat echter vreemder was, was de manier waarop ProLock bestanden versleutelt.

De decryptors van ProLock werken niet

ProLock codeert geen bestanden die kleiner zijn dan 8 KB. Voor degenen die groter zijn, start het het coderingsproces met de negende kilobyte. Als je een bestand opent dat de ransomware al heeft versleuteld, zul je zien dat de eerste delen ervan leesbaar blijven.

De onderzoekers van Sophos denken dat dit de reden is waarom de decryptors van ProLock niet werken. Er zijn al een tijdje meldingen van defecte decoderingsprogramma's van de ProLock-operators, maar dit is de eerste keer dat we een technische verklaring van het probleem zien. Het rapport van Sophos suggereert dat beveiligingsspecialisten de gegevens misschien net kunnen ophalen na het wijzigen van de defecte decryptor, maar ze wijzen erop dat het niet goedkoop zal zijn.

Het is weer een bewijs waarom u nooit zaken mag doen met cybercriminelen. Maar nu we allemaal weten waar het probleem ligt, hoe waarschijnlijk is het dan dat de ProLock-operators het zullen oplossen?

Zal de ProLock-bende hun decryptors repareren?

Vanaf nu weten potentiële slachtoffers die de moeite zouden kunnen nemen om een eenvoudige Google-zoekopdracht uit te voeren, dat zelfs als ze het losgeld betalen, ze hun gegevens mogelijk niet terugkrijgen. Ze zullen minder snel meewerken en u zou denken dat de ransomware-operators hierdoor hun versleutelingsmechanisme zouden kunnen bijwerken en het probleem zouden kunnen oplossen. Het punt is, of de decryptor werkt of niet, zou voor hen weinig verschil kunnen maken.

Omdat bedrijven nu een back-up van hun gegevens maken, is het betalen van losgeld niet langer de enige manier om het terug te halen in het geval van een ransomware-aanval. Vorig jaar realiseerden cybercriminele bendes die zich op organisaties richtten dat ze een tweede afpersingspunt nodig hadden en begonnen ze informatie te stelen voordat ze deze versleutelden. Op die manier kunnen de boeven, wanneer een slachtoffer weigert te betalen voor een decryptor, dreigen met het lekken van tonnen gevoelige gegevens. Veel ransomware-crews hebben het gedaan en we beginnen nu te zien dat het werkt.

Het rapport van Sophos zegt dat de ProLock-bende de strategie nog niet heeft aangenomen, maar het wees er wel op dat ze het op elk moment kunnen doen. Organisaties die het doelwit kunnen zijn van deze specifieke ransomware, moeten zich bewust zijn van de dreiging en moeten de nodige voorzorgsmaatregelen nemen om hun netwerken te versterken.

July 30, 2020

Laat een antwoord achter