Toinen FBI-varoitus ProLock Ransomware -ohjelmasta
Varoitettuaan yleisöä kuinka vaarallinen ProLock voi olla toukokuussa 2020, syyskuun ensimmäisellä viikolla, FBI on antanut toisen varoituksen lunnasohjelmien uhasta. Varoitus on suunnattu lähinnä suurille yksityisille tai julkisille organisaatioille. ProLock-operaattorit ovat historiallisesti seuranneet tällaisia tavoitteita. Suurilla organisaatioilla on todennäköisemmin resursseja maksaa valtava lunnaita, ja ProLockilla tiedetään olevan lunnaita vaativia joskus yli 2 miljoonaa dollaria.
Sisällysluettelo
Historia
ProLock on suhteellisen uusi lunnasohjelmatilanteessa, joka ilmestyi ensimmäisen kerran vuoden 2019 lopulla. Silloin verkkorikolliset käyttivät toista nimeä - PwndLocker . Tämä muuttui maaliskuussa 2020, kun turvallisuusasiantuntijat olivat löytäneet puutteen PwndLockerin koodissa. Virhe oli riittävän merkittävä, jotta asiantuntijat saivat ilmaisen salauksen purkijan. Tämä kannusti luomaan uuden version, joka sisälsi uuden koodin ja uuden nimen - ProLock.
Infektiovektorit
ProLock on ihmisen aiheuttama uhka, ja ProLockia käyttävät verkkorikolliset käyttivät järjestelmäkokoonpanovirheiden tai varastettujen tunnistetietojen hyödyntämiseen pääsyä verkkoon. Jossain vaiheessa noin toukokuussa 2020 ProLock aloitti yhteistyön QakBotin eli Qbotin kanssa. QakBot aloitti pankkitroijalaisena ja kuten useimmat pankkitroijalaiset kehittyi tehokkaaksi haittaohjelmien jakelujärjestelmäksi. Yhteistyö QakBotin kanssa oli iso askel ProLock-verkkorikollisille, koska QakBot lisäsi valtavasti tartunnan saaneiden verkkojen määrää.
Ihmisen ohjaama ransomware
Tarkkuuden vuoksi ProLock-operaattorit pääsevät todennäköisesti käyttämään yhtä tartunnan saanutta konetta ja siirtyvät sitten sivusuunnassa verkossa, johon kone on päällä. Tämä on tavallinen taktiikka ihmisen ohjaamille uhille, koska se antaa rikollisille mahdollisuuden löytää arkaluonteisimmat tiedot ja suunnitella hyökkäyksensä niin, että se aiheuttaa mahdollisimman paljon vahinkoa.
Vaikka ihmiset eivät todennäköisesti kohdata ProLockia, kaiken tyyppisten organisaatioiden turvallisuusasiantuntijoiden on oltava etsimässä tätä uhkaa. Päivityksen ja nimenmuutoksen jälkeen ProLock-salausta ei voi kumota ilman operaattoreiden apua. Vielä pahempaa on, että ProLock-hyökkäyksiin liittyy usein tietojen suodattaminen, joka voi olla tuhoisa organisaatioille. Tämän lisäksi ProLockin salauksen purkuohjelma on historiallisesti ollut epäluotettava. Suurten tiedostojen salauksen purkaminen on epäonnistunut useaan otteeseen. Kirkkaalta puolelta voidaan todeta, että jos organisaatio on valmistautunut ja ottanut käyttöön riittävän suojan lunnasohjelmia ja muita uhkia vastaan, ProLockilla ei ole epätavallisia tai odottamattomia tapoja vaarantaa heidän verkkonsa.