Segundo Aviso Emitido pelo FBI sobre o ProLock Ransomware
Depois de alertar o público em maio de 2020 sobre quão perigoso o ProLock pode ser, na primeira semana de setembro, o FBI emitiu um segundo aviso sobre essa ameaça de ransomware. O alerta é dirigido principalmente a grandes organizações privadas ou governamentais. Os operadores do ProLock historicamente perseguiram esses alvos. É mais provável que as grandes organizações tenham recursos para pagar um resgate enorme e ProLock é conhecido por ter pedidos de resgate que às vezes chegam a mais de US $2 milhões.
Índice
História
O ProLock é relativamente novo no cenário de ransomware, tendo surgido pela primeira vez no final de 2019. Naquela época, os cibercriminosos usavam um nome diferente - PwndLocker. Isso mudou em março de 2020, depois que os especialistas em segurança encontraram uma falha no código do PwndLocker. O bug foi significativo o suficiente para permitir que os especialistas criassem um decodificador gratuito. Isso levou à criação de uma nova versão que veio com um novo código e um novo nome - ProLock.
Vetores de Infecção
O ProLock é uma ameaça operada por humanos e os cibercriminosos que executam o ProLock costumam tirar vantagem das falhas de configuração do sistema ou de credenciais roubadas para obter acesso às redes. Em algum momento por volta de maio de 2020, o ProLock começou a trabalhar com o QakBot, também conhecido como Qbot. O QakBot começou como um Trojan bancário e, como a maioria dos Trojans bancários, evoluiu para um poderoso sistema de distribuição de malware. A parceria com o QakBot foi um grande passo para os cibercriminosos do ProLock porque o QakBot deu um grande impulso ao número de redes infectadas.
Um Ransomware Operado por Humanos
No interesse da precisão, os operadores do ProLock provavelmente estão obtendo acesso a uma única máquina infectada e, em seguida, movendo lateralmente na rede em que a máquina está ligada. Essa é a tática comum para ameaças operadas por humanos, pois permite que os cibercriminosos encontrem as informações mais confidenciais e planejem seu ataque para que ele cause o máximo de danos possível.
Embora seja extremamente improvável que as pessoas encontrem o ProLock, os especialistas em segurança de organizações de todos os tipos devem estar atentos a essa ameaça. Após a atualização e a mudança de nome, a criptografia do ProLock não pode ser desfeita sem a ajuda dos seus operadores. Pior ainda, os ataques do ProLock costumam ser acompanhados por uma exfiltração de dados que pode ser devastadora para as organizações. Além disso, o decodificador do ProLock historicamente não é confiável. A descriptografia de arquivos grandes falhou em várias ocasiões. Por outro lado, se uma organização está preparada e implantou defesas suficientes contra ransomware e outras ameaças, o ProLock não tem nenhuma maneira incomum ou inesperada de comprometer a sua rede.