ProLock Ransomware samarbetar med Qakbot för att attackera företagens nätverk

ProLock Partners With Qakbot

ProLock är ett relativt nytt namn på ransomware-scenen, och mot bakgrund av detta är det ingen överraskning att människorna bakom det är mer intresserade av att slå företag snarare än enskilda användare. För ett tag sedan flyttades fokusen bort från Joe Average och placerades kvadratiskt på företag, finansinstitut, myndigheter och till och med sjukvårdsorganisationer, och för närvarande verkar det åtminstone inte vara tillbaka. De olika målen utgör emellertid olika utmaningar, och en av de viktigaste är den initiala infektionsvektorn.

Tidigare var ransomware-infektionskedjan ganska enkel. Ett stort botnet skulle avfyra ett massivt antal skräppostmeddelanden. Till dem bifogas makro-snörda Word-dokument, som användarna skulle öppna tack vare några socialtekniska tricks. De skadliga filerna installerade tyst ransomware och utpressningsoperationen började. För enskilda användare fungerar detta mycket bra, men i en företagsmiljö kommer de anställda sannolikt att bli bättre utbildade, och spamfiltren kommer troligen att bli strängare, vilket allt kan motverka sådana attacker.

Som ett resultat tvingas ransomware-operatörer leta efter andra sätt att kompromissa med sina måls nätverk. Personerna som kör ProLock ransomware har uppenbarligen hittat svaret i en annan skadlig familj som heter Qakbot.

ProLock använder Qakbot som en dropper

I går delade ZDNet en FBI-blixt från tidigare denna månad enligt vilken ProLock komprometterar några av sina offer nät med Qakbots hjälp. Förra veckan bekräftade forskare från Group-IB att de också har sett Qakbot installera ProLock på hackade system. Detta kan betyda att de människor som har utvecklat Qakbot också är ansvariga för ProLock, men sanningen är att partnerskapet också kan vara resultatet av ett avtal mellan två icke-relaterade cyberkriminella gäng.

En sak är säker - användningen av Qakbot som en dropper har definitivt sina fördelar. Medan ProLock fortfarande försöker ge sig ett namn, har Qakbot redan infekterat en hel del datorer över hela världen, vilket innebär att ransomware-operatörerna kan skonas för att skapa övertygande phishing-kampanjer eller leta efter sårbara RDP-konfigurationer. Utöver detta har Qakbot smarta upptäckningsmekanismer, och det kan också hjälpa till med en mycket viktig del av ProLocks verksamhet.

Som du kanske redan har hört, stjäl många ransomware-besättningar nu data förutom att kryptera det. På det sättet, även om målet vägrar att betala för en dekrypterare, kan skurkarna fortfarande hota att läcka den känsliga informationen såvida inte ett lösen betalas. ProLock har sina egna mekanismer för datautfiltrering, men tack vare Qakbots kapacitet för att stänga nycklar och lösenord kan mängden förflyttad information bli mycket mer omfattande. Specialisterna påpekade inte om partnerskapet sträcker sig utöver den ursprungliga installationen, men Qakbot kanske bara kan hjälpa ProLock att röra sig i sidled även i det komprometterade nätverket.

Sammantaget har ProLock samarbetat med en mycket avancerad bit malware. Vilket är förresten mer än man kan säga om ProLock själv.

ProLock ransomware har haft en svår födelse

ProLocks första inkarnation kallades faktiskt PwndLocker. Det dök upp i slutet av 2019, och det började genast utöva en viss förödelse. Efter att ha tagit några rubriker fick PwndLocker uppmärksamhet från forskare från Emsisoft, som snabbt hittade ett fel i ransomwarens krypteringsmekanism. I början av mars släppte säkerhetsexperterna en gratis dekrypterare för PwndLocker-offer.

Skurkarna gick tillbaka till sin kod, fixade felet och gav sina ransomware ett nytt namn - ProLock. Forskarna har ännu inte hittat ett sätt att slå den reparerade krypteringsmekanismen, men tyvärr verkar ProLock-gänget också ha problem med att återställa uppgifterna från företag som har betalat lösen.

När företag ger sig efter utpressningsförsöken och överför bitcoins får de ett dekrypteringsprogram från skurkarna, som teoretiskt sett bör återställa alla filer tillbaka till sitt ursprungliga tillstånd. I verkligheten tyder dock rapporter på att ProLocks dekrypterare skadar några av de större filerna.

Förutom att drabbas av de ekonomiska förlusterna (som beror på målet men aldrig är obetydliga), förlorar ProLock-offren också sina uppgifter, vilket återigen belyser riskerna med att förhandla med skurkar. Se till att din organisation säkerhetskopierar filer som regelbundet och inte driva cyberkriminellaffärer genom att följa ransomware-operatörernas krav.

May 19, 2020

Lämna ett svar