ProLock Ransomware współpracuje z Qakbot w celu atakowania sieci korporacyjnych

ProLock to stosunkowo nowa nazwa na scenie oprogramowania ransomware. W związku z tym nie jest zaskoczeniem, że osoby stojące za nim są bardziej zainteresowane atakowaniem korporacji niż pojedynczymi użytkownikami. Jakiś czas temu skupiono się na odejściu od Joe Average i skupiono się bezpośrednio na firmach, instytucjach finansowych, rządzie, a nawet organizacjach opieki zdrowotnej, a przynajmniej na razie wydaje się, że nie ma powrotu. Różne cele stanowią jednak różne wyzwania, a jednym z głównych jest początkowy wektor infekcji.

W przeszłości łańcuch infekcji ransomware był dość prosty. Duży botnet wysyłałby ogromną liczbę wiadomości spamowych. Do nich dołączone byłyby makrowe dokumenty Worda, które użytkownicy otworzyliby dzięki niektórym sztuczkom z inżynierii społecznej. Złośliwe pliki po cichu zainstalowałyby oprogramowanie ransomware i rozpoczęła się operacja wymuszenia. W przypadku pojedynczych użytkowników działa to bardzo dobrze, ale w środowisku korporacyjnym pracownicy będą prawdopodobnie lepiej przeszkoleni, a filtry antyspamowe prawdopodobnie bardziej rygorystyczne, co może udaremnić takie ataki.

W rezultacie operatorzy oprogramowania ransomware są zmuszeni szukać innych sposobów na narażenie sieci swoich celów. Osoby korzystające z oprogramowania ransomware ProLock najwyraźniej znalazły odpowiedź w innej rodzinie szkodliwego oprogramowania o nazwie Qakbot.

ProLock używa Qakbota jako droppera

Wczoraj ZDNet udostępnił ostrzeżenie FBI z początku tego miesiąca, zgodnie z którym ProLock kompromituje niektóre sieci swoich ofiar z pomocą Qakbot. W ubiegłym tygodniu naukowcy z Grupy IB potwierdzili, że oni także widzieli, jak Qakbot instaluje ProLock na zhakowanych systemach. Może to oznaczać, że ludzie, którzy opracowali Qakbot, są również odpowiedzialni za ProLock, ale prawda jest taka, że partnerstwo może być również wynikiem porozumienia między dwoma niepowiązanymi gangami cyberprzestępczymi.

Jedno jest pewne - użycie Qakbota jako droppera ma zdecydowanie swoje zalety. Podczas gdy ProLock wciąż próbuje wyrobić sobie markę, Qakbot zainfekował już całkiem sporo komputerów na całym świecie, co oznacza, że operatorzy oprogramowania ransomware mogą oszczędzić sobie pracy z tworzeniem przekonujących kampanii phishingowych lub szukaniem podatnych konfiguracji RDP. Oprócz tego Qakbot ma sprytne mechanizmy unikania wykrywania, a także może pomóc w bardzo ważnej części działania ProLock.

Jak już zapewne słyszałeś, wiele ekip ransomware kradnie teraz dane oprócz ich szyfrowania. W ten sposób, nawet jeśli cel odmówi zapłaty za deszyfrator, oszuści mogą nadal grozić ujawnieniem poufnych informacji, chyba że zostanie zapłacony okup. ProLock ma własne mechanizmy eksfiltracji danych, ale dzięki możliwościom rejestrowania keylogów i kradzieży haseł ilość gromadzonych informacji może być znacznie większa. Specjaliści nie wskazali, czy partnerstwo wykracza poza początkową instalację, ale Qakbot może po prostu być w stanie pomóc ProLock w bocznym poruszaniu się w zagrożonej sieci.

Podsumowując, ProLock połączył siły z bardzo zaawansowanym złośliwym oprogramowaniem. Nawiasem mówiąc, to więcej niż można powiedzieć o samej ProLock.

Oprogramowanie ransomware ProLock ma trudne narodziny

Pierwsze wcielenie ProLocka nazywało się PwndLocker. Pojawił się pod koniec 2019 roku i natychmiast zaczął siać spustoszenie. Po przejrzeniu kilku nagłówków, PwndLocker zwrócił uwagę badaczy z Emsisoft, którzy szybko znaleźli błąd w mechanizmie szyfrowania ransomware. Na początku marca eksperci ds. Bezpieczeństwa wydali bezpłatny deszyfrator dla ofiar PwndLocker.

Oszuści wrócili do swojego kodu, naprawili błąd i nadali swojemu ransomware nową nazwę - ProLock. Naukowcy nie znaleźli jeszcze sposobu na pokonanie naprawionego mechanizmu szyfrowania, ale niestety gang ProLock ma również problemy z przywróceniem danych firm, które zapłaciły okup.

Gdy firmy poddają się próbom wymuszenia i przesyłają bitcoiny, otrzymują od oszustów program deszyfrujący, który teoretycznie powinien przywrócić wszystkie pliki do ich pierwotnego stanu. W rzeczywistości jednak raporty sugerują, że deszyfrator ProLock psuje niektóre większe pliki.

Oprócz strat finansowych (które zależą od celu, ale nigdy nie są nieznaczne), ofiary ProLock również tracą swoje dane, co ponownie uwypukla ryzyko związane z negocjacjami z oszustami. Upewnij się, że twoja organizacja regularnie tworzy kopie zapasowe plików i nie podsycaj działalności cyberprzestępców, spełniając wymagania operatorów oprogramowania ransomware.