De ProLock Ransomware werkt samen met Qakbot om bedrijfsnetwerken aan te vallen

ProLock is een relatief nieuwe naam in de ransomware-scene, en in het licht hiervan is het geen verrassing dat de mensen erachter meer geïnteresseerd zijn in het raken van bedrijven dan in individuele gebruikers. Een tijdje geleden werd de focus verlegd van Joe Average en werd het vierkant geplaatst bij bedrijven, financiële instellingen, de overheid en zelfs zorgorganisaties, en vooralsnog lijkt er in ieder geval geen weg terug te zijn. De verschillende doelen stellen echter verschillende uitdagingen, en een van de belangrijkste is de initiële infectievector.

In het verleden was de ransomware-infectieketen vrij eenvoudig. Een groot botnet zou een enorm aantal spam-e-mails afvuren. Aan hen bevestigd zouden macro-geregen Word-documenten zijn, die de gebruikers zouden openen dankzij enkele social engineering-trucs. De kwaadaardige bestanden zouden de ransomware in stilte installeren en de afpersingsoperatie zou beginnen. Voor individuele gebruikers werkt dit heel goed, maar in een bedrijfsomgeving zijn de werknemers waarschijnlijk beter opgeleid en zijn de spamfilters waarschijnlijk strenger, wat dergelijke aanvallen allemaal zou kunnen dwarsbomen.

Dientengevolge worden ransomware-operators gedwongen te zoeken naar andere manieren om de netwerken van hun doelwitten in gevaar te brengen. De mensen die de ProLock-ransomware gebruiken, hebben blijkbaar het antwoord gevonden in een andere malwarefamilie, Qakbot genaamd.

ProLock gebruikt Qakbot als druppelaar

Gisteren deelde ZDNet een FBI-flitswaarschuwing van eerder deze maand, volgens welke ProLock enkele van de netwerken van zijn slachtoffers in gevaar brengt met de hulp van Qakbot. Vorige week bevestigden onderzoekers van Group-IB dat ook zij hebben gezien dat Qakbot ProLock op gehackte systemen heeft geïnstalleerd. Dit kan betekenen dat de mensen die Qakbot hebben ontwikkeld ook verantwoordelijk zijn voor ProLock, maar de waarheid is dat de samenwerking ook het resultaat kan zijn van een overeenkomst tussen twee niet-verwante cybercriminele bendes.

Eén ding is zeker: het gebruik van Qakbot als druppelaar heeft zeker zijn voordelen. Terwijl ProLock nog steeds naam probeert te maken, heeft Qakbot al heel wat computers over de hele wereld geïnfecteerd, wat betekent dat de ransomware-operators het karwei kunnen worden bespaard om overtuigende phishing-campagnes te maken of op zoek te gaan naar kwetsbare RDP-configuraties. Daarnaast heeft Qakbot slimme ontwijkingsmechanismen voor detectie en kan het ook helpen bij een zeer belangrijk onderdeel van de werking van ProLock.

Zoals je misschien al hebt gehoord, stelen veel ransomware-crews nu gegevens naast het versleutelen ervan. Op die manier, zelfs als het doelwit weigert te betalen voor een decryptor, kunnen de oplichters nog steeds dreigen de gevoelige informatie te lekken, tenzij losgeld wordt betaald. ProLock heeft zijn eigen data-exfiltratiemechanismen, maar dankzij de mogelijkheden van Qakbot voor keylogging en het stelen van wachtwoorden kan de hoeveelheid gestolen informatie veel groter zijn. De specialisten wezen er niet op of het partnerschap verder gaat dan de eerste installatie, maar Qakbot kan ProLock misschien ook helpen om lateraal binnen het aangetaste netwerk te bewegen.

Al met al werkt ProLock samen met een zeer geavanceerd stuk malware. Wat trouwens meer is dan gezegd kan worden over ProLock zelf.

De ProLock ransomware heeft een moeilijke geboorte achter de rug

De eerste incarnatie van ProLock heette eigenlijk PwndLocker. Het verscheen eind 2019 en het begon meteen met het veroorzaken van wat ravage. Na een paar krantenkoppen te hebben gepakt, trok PwndLocker de aandacht van onderzoekers van Emsisoft, die snel een fout ontdekten in het versleutelingsmechanisme van de ransomware. Begin maart brachten de beveiligingsexperts een gratis decryptor uit voor PwndLocker-slachtoffers.

De oplichters gingen terug naar hun code, repareerden de fout en gaven hun ransomware een nieuwe naam - ProLock. De onderzoekers moeten nog een manier vinden om het herstelde versleutelingsmechanisme te verslaan, maar helaas lijkt de ProLock-bende ook moeite te hebben met het herstellen van de gegevens van bedrijven die het losgeld hebben betaald.

Wanneer bedrijven toegeven aan de afpersingspogingen en de bitcoins overdragen, ontvangen ze een decoderingsprogramma van de boeven, dat in theorie alle bestanden in hun oorspronkelijke staat zou moeten herstellen. In werkelijkheid suggereren rapporten echter dat de decryptor van ProLock enkele van de grotere bestanden beschadigt.

Naast het lijden van de financiële verliezen (die afhankelijk zijn van het doelwit maar nooit onbeduidend zijn), verliezen ProLock-slachtoffers ook hun gegevens, wat nogmaals de risico's benadrukt die gepaard gaan met onderhandelen met boeven. Zorg ervoor dat uw organisatie regelmatig back-ups maakt van bestanden en voed de zaken van cybercriminelen niet door te voldoen aan de eisen van de ransomware-operators.