Anden FBI-advarsel om udstedt ProLock Ransomware
Efter at have advaret offentligheden om, hvor farlig ProLock kan være i maj 2020, i den første uge i september, har FBI udsendt en anden advarsel om ransomware-truslen. Advarslen er hovedsageligt rettet mod store private eller offentlige organisationer. Operatørerne af ProLock har historisk fulgt sådanne mål. Store organisationer er mere tilbøjelige til at have ressourcer til at betale en enorm løsesum, og det er kendt, at ProLock har løsesumskrav, der undertiden når op på mere end $ 2 millioner.
Indholdsfortegnelse
Historie
ProLock er relativt ny på ransomware-scenen, der først kom frem i slutningen af 2019. På det tidspunkt brugte cyberkriminelle et andet navn - PwndLocker . Dette ændrede sig i marts 2020, efter at sikkerhedseksperter havde fundet en fejl i PwndLockers kode. Fejlen var betydelig nok til, at eksperter kunne komme med en gratis dekryptering. Dette bedt om oprettelsen af en ny version, der fulgte med ny kode og et nyt navn - ProLock.
Infektionsvektorer
ProLock er en menneskelig styret trussel, og cyberkriminelle, der kører ProLock, plejede at drage fordel af systemkonfigurationsfejl eller stjålne legitimationsoplysninger for at få adgang til netværk. På et tidspunkt omkring maj 2020 begyndte ProLock at arbejde med QakBot aka Qbot. QakBot startede som en banktrojan, og som de fleste banktrojanere udviklede det sig til et kraftigt leveringssystem til malware. Partnerskab med QakBot var et stort skridt for ProLock cyberkriminelle, fordi QakBot gav et enormt løft til antallet af inficerede netværk.
Human Operated Ransomware
Af hensyn til nøjagtighed får ProLocks operatører sandsynligvis adgang til en enkelt inficeret maskine og bevæger sig derefter lateralt i det netværk, maskinen er tændt på. Dette er den sædvanlige taktik for trusler fra mennesker, da det giver cyberkriminelle mulighed for at finde de mest følsomme oplysninger og planlægge deres angreb, så det skader mest muligt.
Mens enkeltpersoner yderst usandsynligt støder på ProLock, skal sikkerhedsspecialister i organisationer af alle typer være på udkig efter denne trussel. Efter opgraderingen og navneændringen kan ProLocks kryptering ikke fortrydes uden hjælp fra dets operatører. Endnu værre, ProLock-angreb ledsages ofte af dataeksfiltrering, der kan være ødelæggende for organisationer. Oven i det har ProLocks dekrypter historisk været upålidelig. Dekryptering af store filer mislykkedes ved flere lejligheder. På den lyse side, hvis en organisation er forberedt og har implementeret tilstrækkelig forsvar mod ransomware og andre trusler, har ProLock ikke usædvanlige eller uventede måder at kompromittere deres netværk på.