O ProLock Ransomware faz parceria com o Qakbot para atacar redes corporativas
ProLock é um nome relativamente novo na cena do ransomware e, diante disso, não é surpresa que as pessoas por trás dele estejam mais interessadas em atingir empresas do que em usuários individuais. Há algum tempo, o foco foi desviado de Joe Average e foi colocado diretamente em empresas, instituições financeiras, governo e até organizações de saúde, e por enquanto, pelo menos, parece que não há volta. Os diferentes alvos apresentam diferentes desafios, no entanto, e um dos principais é o vetor de infecção inicial.
No passado, a cadeia de infecção por ransomware era bastante direta. Um botnet grande dispararia um grande número de emails de spam. Anexados a eles, havia documentos do Word com macros, que os usuários abririam graças a alguns truques de engenharia social. Os arquivos maliciosos instalariam silenciosamente o ransomware e a operação de extorsão começaria. Para usuários individuais, isso funciona muito bem, mas em um ambiente corporativo, é provável que os funcionários sejam mais bem treinados e os filtros de spam provavelmente sejam mais rígidos, o que poderia impedir esses ataques.
Como resultado, os operadores de ransomware são forçados a procurar outras maneiras de comprometer as redes de seus alvos. As pessoas que executam o ProLock ransomware aparentemente encontraram a resposta em outra família de malware chamada Qakbot.
O ProLock usa o Qakbot como conta-gotas
Ontem, o ZDNet compartilhou um alerta instantâneo do FBI do início deste mês, segundo o qual o ProLock compromete algumas das redes de suas vítimas com a ajuda do Qakbot. Na semana passada, pesquisadores do Grupo IB confirmaram que também viram o Qakbot instalar o ProLock em sistemas invadidos. Isso pode significar que as pessoas que desenvolveram o Qakbot também são responsáveis pelo ProLock, mas a verdade é que a parceria também pode ser o resultado de um acordo entre duas quadrilhas de criminosos cibernéticos não relacionados.
Uma coisa é certa - o uso do Qakbot como conta-gotas definitivamente tem suas vantagens. Embora o ProLock ainda esteja tentando se destacar, o Qakbot já infectou muitos computadores em todo o mundo, o que significa que os operadores de ransomware podem ser poupados da tarefa de criar campanhas de phishing convincentes ou procurar configurações vulneráveis de RDP. Além disso, o Qakbot possui mecanismos inteligentes de evasão de detecção e também pode ajudar com uma parte muito importante da operação do ProLock.
Como você já deve ter ouvido, muitas equipes de ransomware agora roubam dados, além de criptografá-los. Dessa forma, mesmo que o alvo se recuse a pagar por um decodificador, os criminosos ainda podem ameaçar vazar as informações confidenciais, a menos que um resgate seja pago. O ProLock possui seus próprios mecanismos de exfiltração de dados, mas graças aos recursos de registro de chaves e roubo de senhas do Qakbot, a quantidade de informações roubadas pode ser muito mais substancial. Os especialistas não apontaram se a parceria se estende para além da instalação inicial, mas o Qakbot pode ser capaz de ajudar o ProLock a se mover lateralmente também na rede comprometida.
Em suma, o ProLock se uniu a um malware muito avançado. O que, a propósito, é mais do que se pode dizer sobre o próprio ProLock.
O ransomware ProLock teve um parto difícil
A primeira encarnação do ProLock foi na verdade chamada PwndLocker. Ele apareceu no final de 2019 e imediatamente começou a causar estragos. Depois de pegar algumas manchetes, o PwndLocker chamou a atenção de pesquisadores da Emsisoft, que rapidamente encontraram um erro no mecanismo de criptografia do ransomware. No início de março, os especialistas em segurança lançaram um decodificador gratuito para as vítimas do PwndLocker.
Os bandidos voltaram ao código, corrigiram o erro e deram ao ransomware um novo nome - ProLock. Os pesquisadores ainda precisam encontrar uma maneira de superar o mecanismo de criptografia consertada, mas, infelizmente, a turma do ProLock também parece estar tendo problemas para restaurar os dados de empresas que pagaram o resgate.
Quando as empresas cedem às tentativas de extorsão e transferem os bitcoins, elas recebem um programa de descriptografia dos criminosos, que teoricamente deve restaurar todos os arquivos de volta ao seu estado original. Na realidade, porém, os relatórios sugerem que o decodificador do ProLock está corrompendo alguns dos arquivos maiores.
Além de sofrer as perdas financeiras (que dependem do objetivo, mas nunca são insignificantes), as vítimas do ProLock também perdem seus dados, o que mais uma vez destaca os riscos associados à negociação com bandidos. Verifique se a sua organização faz backup de arquivos regularmente e não alimenta os negócios dos cibercriminosos, atendendo às demandas dos operadores de ransomware.
