Os operadores de ProLock Ransomware enviam decodificadores defeituosos para vítimas que pagam o resgate

Como muitos de vocês provavelmente sabem, nem todo ransomware é criado da mesma forma. Algumas famílias são de autoria de hackers jovens e inexperientes, que emprestam a maior parte de seu código de repositórios abertos. Muitas vezes, cometem erros durante a implementação dos componentes individuais e acabam com amostras de ransomware que não representam uma grande ameaça. Por outro lado, outras famílias de malware com criptografia de arquivos são projetadas e construídas por equipes sofisticadas de hackers que possuem uma quantidade quase ilimitada de recursos.

ProLock é um nome relativamente novo na cena do ransomware. Ele ganhou algumas manchetes nos últimos meses e será interessante ver se é uma das ameaças mais sofisticadas ou se foi criada por um grupo de amadores.

ProLock - uma séria ameaça para organizações de todas as formas e tamanhos

Pesquisadores da Sophos recentemente decidiram dar uma olhada no ProLock depois que um de seus clientes foi atingido por ele. Imediatamente ficou claro que não é o trabalho dos chamados kiddies de script.

No caso do ataque que a Sophos investigou, o ponto de entrada inicial era um servidor RDP mal configurado que os hackers exploravam. Depois de comprometer a vítima, eles coletaram mais informações sobre a rede em que estavam e, mais tarde, usaram uma lista de credenciais roubadas para passar por ela. A operação real de ransomware começa com o posicionamento de quatro arquivos na pasta% ProgramData% do host.

Há uma imagem BMP, um arquivo XML e alguns arquivos em lote. O primeiro arquivo em lote configura uma tarefa agendada usando os parâmetros definidos no documento XML. A tarefa agendada executa o segundo arquivo em lote, que, por sua vez, extrai a carga útil do ransomware que é codificada na imagem BMP usando esteganografia.

Antes de criptografar os dados, o ProLock finaliza certos processos para garantir que menos arquivos sejam abertos durante o estágio de criptografia. Quando é feita a codificação das informações, o ProLock envia uma nota de resgate com uma ID do usuário e um link para um site hospedado pelo Tor, onde as vítimas podem obter mais informações sobre as demandas dos hackers.

Até agora, tudo parece muito profissional e elaborado. Quando os pesquisadores analisaram algumas amostras, no entanto, perceberam que, embora partes do código tenham sido adaptadas para vítimas individuais, os IDs do usuário eram codificados e não eram únicos. Isso foi estranho. O que era mais estranho, no entanto, era a maneira como o ProLock criptografa arquivos.

Os decodificadores do ProLock não funcionam

O ProLock não criptografa arquivos menores que 8 KB. Para os maiores, inicia o processo de criptografia com o nono kilobyte. Como resultado, se você abrir um arquivo que o ransomware já tenha criptografado, verá que as primeiras partes dele permanecerão na forma legível.

Os pesquisadores da Sophos pensam que essa é a razão pela qual os decodificadores do ProLock não funcionam. Há relatos de programas de descriptografia com falha fornecidos pelos operadores do ProLock há algum tempo, mas esta é a primeira vez que vemos uma explicação técnica do problema. O relatório da Sophos sugere que os especialistas em segurança possam recuperar os dados depois de modificar o decodificador com defeito, mas apontam que não será barato.

É mais uma prova de por que você nunca deve negociar com cibercriminosos. Mas agora que todos sabemos onde está o problema, qual a probabilidade dos operadores do ProLock corrigi-lo?

A turma do ProLock consertará seus decodificadores?

A partir de agora, as possíveis vítimas que possam se dar ao trabalho de fazer uma simples pesquisa no Google saberão que, mesmo que paguem o resgate, talvez não recuperem seus dados. É menos provável que eles cooperem, e você pode pensar que isso pode fazer com que os operadores de ransomware atualizem seu mecanismo de criptografia e corrijam o problema. A questão é se o decodificador funciona ou não, pode fazer pouca diferença para eles.

Como as empresas agora mantêm backups de seus dados, pagar o resgate não é mais a única maneira de recuperá-los no caso de um ataque de ransomware. No ano passado, as gangues de criminosos cibernéticos que atacavam organizações perceberam que precisavam de um segundo ponto de extorsão e começaram a roubar informações antes de criptografá-las. Dessa forma, quando uma vítima se recusa a pagar por um decodificador, os bandidos podem ameaçar vazar toneladas de dados confidenciais. Muitas equipes de ransomware fizeram isso e agora estamos começando a ver que funciona.

O relatório da Sophos diz que a turma do ProLock ainda não adotou a estratégia, mas apontou que eles podem fazê-lo a qualquer momento. As organizações que podem ser alvo desse ransomware específico devem estar cientes da ameaça e devem tomar as precauções necessárias para fortalecer suas redes.