ProLock勒索軟件與Qakbot合作攻擊企業網絡

ProLock Partners With Qakbot

ProLock在勒索軟件領域是一個相對較新的名稱,因此,其背後的人們對打入公司而不是個人用戶更感興趣也就不足為奇了。不久前,焦點已經從喬·阿維茲轉移到了企業,金融機構,政府甚至醫療機構,而目前看來,至少沒有回頭路了。不同的目標面臨不同的挑戰,但是主要挑戰之一是初始感染媒介。

過去,勒索軟件的感染鏈非常簡單。大型殭屍網絡將觸發大量垃圾郵件。附在它們上面的是宏觀措辭的Word文檔,由於一些社會工程學的技巧,用戶可以打開它們。惡意文件將以靜默方式安裝勒索軟件,勒索操作將開始。對於個人用戶而言,這非常有效,但是在公司環境中,員工可能會受到更好的培訓,垃圾郵件過濾器可能會更嚴格,所有這些都可以阻止此類攻擊。

結果,勒索軟件運營商被迫尋找其他破壞目標網絡的方法。運行ProLock勒索軟件的人們顯然在另一個名為Qakbot的惡意軟件家族中找到了答案。

ProLock使用Qakbot作為滴管

昨天, ZDNet分享本月初發布的FBI快閃警報 ,根據該警報 ,ProLock在Qakbot的幫助下破壞了一些受害者的網絡。上週,來自Group-IB的研究人員證實,他們也已經看到Qakbot在被黑客入侵的系統上安裝了ProLock。這可能意味著開發Qakbot的人也應負責ProLock,但事實是,這種夥伴關係也可能是兩個不相關的網絡犯罪團伙之間達成協議的結果。

可以肯定的是,將Qakbot用作滴管肯定有其優勢。儘管ProLock仍在努力為自己取名,但Qakbot已經感染了全世界許多計算機,這意味著勒索軟件運營商可以省去創建令人信服的網絡釣魚活動或尋找易受攻擊的RDP配置的繁瑣工作。除此之外,Qakbot還具有巧妙的檢測規避機制,它也可以幫助ProLock運作的非常重要的一部分。

就像您可能已經聽說的那樣,許多勒索軟件人員現在除了加密數據之外還竊取數據。這樣,即使目標拒絕支付解密器費用,騙子仍然可以威脅洩露敏感信息,除非支付了贖金。 ProLock擁有自己的數據洩露機制,但是由於Qakbot的鍵盤記錄和密碼竊取功能,竊取的信息量可能會更大。專家們沒有指出合作夥伴關係是否超出了最初的安裝範圍,但是Qakbot也許也能夠幫助ProLock在受感染的網絡內橫向遷移。

總而言之,ProLock已與非常先進的惡意軟件合作。順便說一下,關於ProLock本身,這還遠遠不能說。

ProLock勒索軟件誕生困難

ProLock的第一個化身實際上叫做PwndLocker。它出現在2019年末,並立即著手造成一些破壞。在搶了一些頭條新聞之後,PwndLocker吸引了Emsisoft研究人員的注意,他們很快發現了勒索軟件的加密機制中的錯誤。 3月初,安全專家為PwndLocker受害者發布了免費的解密器。

騙子回到了他們的代碼,更正了錯誤,並為勒索軟件起了一個新名字-ProLock。研究人員尚未找到一種方法來擊敗這種改進的加密機制,但不幸的是,ProLock幫派似乎也很難恢復支付了贖金的公司的數據。

當公司屈服於勒索企圖並轉移比特幣時,他們會從騙子那裡收到解密程序,該程序從理論上講應該將所有文件恢復到原始狀態。然而,實際上,有報告表明ProLock的解密器正在破壞某些較大的文件。

除了遭受經濟損失(取決於目標,但絕不會微不足道)之外,ProLock受害者還丟失了數據,這再次凸顯了與騙子進行談判相關的風險。確保您的組織定期備份文件,並且不遵守勒索軟件運營商的要求,以免助長網絡犯罪分子的業務。

May 19, 2020

發表評論