Izdato drugo upozorenje FBI-a o ProLock Ransomwareu
Nakon upozorenja javnosti koliko ProLock može biti opasan u svibnju 2020., u prvom tjednu rujna, FBI je izdao drugo upozorenje o prijetnji ransomwareom. Upozorenje je uglavnom usmjereno na velike privatne ili državne organizacije. Operatori ProLocka u povijesti su išli za takvim ciljevima. Veće će organizacije vjerojatnije imati sredstva za plaćanje ogromne otkupnine, a poznato je da ProLock ima zahtjeve za otkupninom koji ponekad dosežu i više od dva milijuna dolara.
Sadržaj
Povijest
ProLock je relativno nov na sceni ransomware koji se prvi put pojavio krajem 2019. Tada su cyber kriminalci koristili drugo ime - PwndLocker . To se promijenilo u ožujku 2020. nakon što su sigurnosni stručnjaci pronašli propust u PwndLocker-ovom kodu. Greška je bila dovoljno značajna da stručnjacima omogući besplatan dešifrirač. To je potaknulo stvaranje nove verzije koja je došla s novim kodom i novim imenom - ProLock.
Vektori infekcije
ProLock je prijetnja kojom upravlja čovjek, a cyber kriminalci koji pokreću ProLock koristili su nedostatke u konfiguraciji sustava ili ukradene vjerodajnice kako bi dobili pristup mrežama. U nekom trenutku oko svibnja 2020. godine, ProLock je počeo raditi s QakBot aka Qbot. QakBot je započeo kao bankarski trojanski program i poput većine bankarskih trojanaca evoluirao je u moćan sustav za isporuku zlonamjernog softvera. Partnerstvo s QakBot-om bio je veliki korak za ProLock-ove internetske kriminalce jer je QakBot dao ogroman poticaj broju zaraženih mreža.
Ransomware kojim upravlja čovjek
U interesu preciznosti, operateri ProLocka vjerojatno dobivaju pristup jednom zaraženom stroju, a zatim se bočno kreću u mreži u kojoj je stroj uključen. Ovo je uobičajena taktika za prijetnje kojima upravlja čovjek, jer omogućuje cyber kriminalcima da pronađu najosjetljivije informacije i planiraju napad kako bi napravili najveću moguću štetu.
Iako je malo vjerojatno da će pojedinci naići na ProLock, sigurnosni stručnjaci u organizacijama svih vrsta moraju biti u potrazi za ovom prijetnjom. Nakon nadogradnje i promjene imena, ProLock-ovo šifriranje ne može se poništiti bez pomoći njegovih operatora. Što je još gore, ProLock napadi često su praćeni eksfiltracijom podataka koja može biti pogubna za organizacije. Povrh toga, ProLockov dešifrivač u povijesti je bio nepouzdan. Dešifriranje velikih datoteka nije uspjelo u više navrata. Sa dobre strane, ako je organizacija spremna i razmjestila dovoljno obrane od ransomwarea i drugih prijetnji, ProLock nema neobičnih ili neočekivanih načina da ugrozi svoju mrežu.