ProLock Ransomware сотрудничает с Qakbot для атаки на корпоративные сети

ProLock - относительно новое имя на сцене вымогателей, и в свете этого неудивительно, что люди, стоящие за ним, больше заинтересованы в попадании в корпорации, чем в отдельных пользователей. Некоторое время назад акцент был смещен с Joe Average и был сделан прямо на предприятия, финансовые учреждения, правительство и даже организации здравоохранения, и в настоящее время, по крайней мере, пути назад уже нет. Однако разные цели ставят разные задачи, и одной из основных является первоначальный вектор инфекции.

В прошлом цепочка заражения вымогателями была довольно простой. Большой ботнет будет запускать огромное количество спам-писем. К ним будут прикреплены макро-документы Word, которые пользователи будут открывать благодаря некоторым уловкам социальной инженерии. Вредоносные файлы автоматически установят вымогателей, и операция по вымогательству начнется. Для отдельных пользователей это работает очень хорошо, но в корпоративной среде сотрудники, вероятно, будут лучше подготовлены, а спам-фильтры, вероятно, будут более строгими, и все это может помешать таким атакам.

В результате операторы-вымогатели вынуждены искать другие способы компрометации сетей своих целей. Люди, использующие ProLock Ransomware, очевидно, нашли ответ в другом семействе вредоносных программ под названием Qakbot.

ProLock использует Qakbot в качестве пипетки

Вчера ZDNet поделился флеш-предупреждением ФБР с начала этого месяца, согласно которому ProLock с помощью Qakbot компрометирует некоторые сети своих жертв. На прошлой неделе исследователи из Group-IB подтвердили, что они также видели, как Qakbot установил ProLock на взломанные системы. Это может означать, что люди, разработавшие Qakbot, также несут ответственность за ProLock, но правда в том, что партнерство также может быть результатом соглашения между двумя несвязанными киберпреступными бандами.

Одно можно сказать наверняка - использование Qakbot в качестве капельницы определенно имеет свои преимущества. В то время как ProLock все еще пытается сделать себе имя, Qakbot уже заразил довольно много компьютеров по всему миру, что означает, что операторы-вымогатели могут быть избавлены от рутинной работы по созданию убедительных фишинговых кампаний или поиску уязвимых конфигураций RDP. В дополнение к этому, Qakbot имеет хитроумные механизмы уклонения от обнаружения, и он также может помочь с очень важной частью работы ProLock.

Как вы, возможно, уже слышали, многие команды-вымогатели теперь крадут данные в дополнение к их шифрованию. Таким образом, даже если цель отказывается платить за расшифровщик, мошенники все равно могут угрожать утечкой конфиденциальной информации, если выкуп не выплачен. ProLock имеет свои собственные механизмы удаления данных, но благодаря возможностям Qakbot по ведению кейлогий и краже паролей количество украденной информации может быть гораздо более существенным. Специалисты не указали, выходит ли партнерство за пределы первоначальной установки, но Qakbot может просто помочь ProLock перемещаться в боковом направлении и внутри скомпрометированной сети.

В общем, ProLock объединился с очень продвинутой вредоносной программой. Что, кстати, больше, чем можно сказать о самой ProLock.

У ProLock Ransomware было трудное рождение

Первое воплощение ProLock фактически называлось PwndLocker. Он появился в конце 2019 года, и сразу же начал сеять хаос. Получив несколько заголовков, PwndLocker привлек внимание исследователей из Emsisoft, которые быстро обнаружили ошибку в механизме шифрования вымогателей. В начале марта эксперты по безопасности выпустили бесплатный расшифровщик для жертв PwndLocker.

Мошенники вернулись к своему коду, исправили ошибку и дали своему вымогателю новое имя - ProLock. Исследователи еще не нашли способ победить исправленный механизм шифрования, но, к сожалению, банда ProLock также испытывает проблемы с восстановлением данных компаний, которые заплатили выкуп.

Когда компании поддаются попыткам вымогательства и переводят биткойны, они получают от мошенников программу расшифровки, которая теоретически должна восстановить все файлы до их первоначального состояния. В действительности, однако, сообщения предполагают, что расшифровщик ProLock повреждает некоторые файлы большего размера.

В дополнение к финансовым потерям (которые зависят от цели, но не являются незначительными), жертвы ProLock также теряют свои данные, что еще раз подчеркивает риски, связанные с переговорами с мошенниками. Убедитесь, что ваша организация регулярно создает резервные копии файлов и не подпитывает бизнес киберпреступников, выполняя требования операторов вымогателей.