ProLock勒索软件与Qakbot合作攻击企业网络

ProLock Partners With Qakbot

ProLock在勒索软件领域是一个相对较新的名称,因此,其背后的人们对打入公司而不是个人用户更感兴趣也就不足为奇了。不久前,重点已从乔·阿维兹(Joe Average)转移到企业,金融机构,政府乃至医疗机构,而目前至少看起来没有回头路可走。不同的靶标面临不同的挑战,但是主要的挑战之一是初始感染媒介。

过去,勒索软件的感染链非常简单。大型僵尸网络将触发大量垃圾邮件。附在它们上面的是宏观措辞的Word文档,由于一些社会工程学的技巧,用户可以打开它们。恶意文件将以静默方式安装勒索软件,勒索操作将开始。对于个人用户而言,这非常有效,但是在公司环境中,员工可能会受到更好的培训,垃圾邮件过滤器可能会更严格,所有这些都可以阻止此类攻击。

结果,勒索软件运营商被迫寻找其他破坏目标网络的方法。运行ProLock勒索软件的人们显然在另一个名为Qakbot的恶意软件家族中找到了答案。

ProLock使用Qakbot作为滴管

昨天, ZDNet分享本月初发布的FBI快闪警报 ,根据该警报 ,ProLock在Qakbot的帮助下破坏了一些受害者的网络。上周,来自Group-IB的研究人员证实,他们也已经看到Qakbot在被黑客入侵的系统上安装了ProLock。这可能意味着开发Qakbot的人也应负责ProLock,但事实是,这种伙伴关系也可能是两个不相关的网络犯罪团伙之间达成协议的结果。

可以肯定的是,将Qakbot用作滴管肯定有其优势。尽管ProLock仍在努力为自己取名,但Qakbot已经感染了全世界许多计算机,这意味着勒索软件运营商可以省去创建令人信服的网络钓鱼活动或寻找易受攻击的RDP配置的繁琐工作。除此之外,Qakbot还具有巧妙的检测规避机制,它也可以帮助ProLock运作的非常重要的一部分。

就像您可能已经听说的那样,许多勒索软件人员现在除了加密数据之外还窃取数据。这样,即使目标拒绝支付解密器费用,骗子仍然可以威胁泄露敏感信息,除非支付了赎金。 ProLock拥有自己的数据泄露机制,但是由于Qakbot的键盘记录和密码窃取功能,窃取的信息量可能会更大。专家们没有指出合作伙伴关系是否超出了最初的安装范围,但是Qakbot也许也能够帮助ProLock在受感染的网络内横向移动。

总而言之,ProLock与非常先进的恶意软件合作。顺便说一下,关于ProLock本身,这还远远不能说。

ProLock勒索软件诞生困难

ProLock的第一个化身实际上叫做PwndLocker。它出现在2019年末,并立即着手造成一些破坏。在抢了一些头条新闻之后,PwndLocker吸引了Emsisoft研究人员的注意,他们很快发现了勒索软件的加密机制中的错误。 3月初,安全专家为PwndLocker受害者发布了免费的解密器。

骗子回到了他们的代码,更正了错误,并为勒索软件起了一个新名字-ProLock。研究人员尚未找到一种方法来击败这种改进的加密机制,但是不幸的是,ProLock帮派似乎也很难恢复支付了赎金的公司的数据。

当公司屈服于勒索企图并转移比特币时,他们会从骗子那里收到解密程序,从理论上讲,这应该将所有文件恢复到原始状态。但是,实际上,有报告表明ProLock的解密器正在破坏某些较大的文件。

除了遭受经济损失(取决于目标,但绝不会微不足道)之外,ProLock受害者还丢失了数据,这再次凸显了与骗子进行谈判相关的风险。确保您的组织定期备份文件,并且不遵守勒索软件运营商的要求,以免助长网络犯罪分子的业务。

May 19, 2020

发表评论