Tweede FBI-waarschuwing over ProLock Ransomware uitgegeven
Na het publiek te hebben gewaarschuwd over hoe gevaarlijk ProLock kan zijn in mei 2020, heeft de FBI in de eerste week van september een tweede waarschuwing afgegeven over de ransomware-dreiging. De waarschuwing is veelal gericht op grote particuliere of overheidsorganisaties. De operators van ProLock zijn in het verleden dergelijke doelen nagestreefd. Grote organisaties hebben meer de middelen om een enorm losgeld te betalen en ProLock staat erom bekend dat er losgeld wordt gevraagd van soms meer dan $ 2 miljoen.
Inhoudsopgave
Geschiedenis
ProLock is relatief nieuw in de ransomware-scene die eind 2019 voor het eerst opkwam. Op dat moment gebruikten de cybercriminelen een andere naam: PwndLocker . Dit veranderde in maart 2020 nadat beveiligingsexperts een fout in de code van PwndLocker hadden gevonden. De bug was significant genoeg om experts in staat te stellen een gratis decrypter te bedenken. Dit leidde tot de creatie van een nieuwe versie met nieuwe code en een nieuwe naam - ProLock.
Infectievectoren
ProLock is een door mensen bediende bedreiging en de cybercriminelen die ProLock gebruikten, maakten gebruik van systeemconfiguratiefouten of gestolen inloggegevens om toegang te krijgen tot netwerken. Op een bepaald moment rond mei 2020 begon ProLock te werken met QakBot oftewel Qbot. QakBot begon als een banktrojan en zoals de meeste banktrojanen evolueerde het naar een krachtig systeem voor het afleveren van malware. De samenwerking met QakBot was een grote stap voor de ProLock-cybercriminelen omdat QakBot een enorme boost gaf aan het aantal geïnfecteerde netwerken.
Door mensen bediende ransomware
In het belang van de nauwkeurigheid krijgen de operators van ProLock waarschijnlijk toegang tot een enkele geïnfecteerde machine en verplaatsen ze zich lateraal in het netwerk waarop de machine zich bevindt. Dit is de gebruikelijke tactiek voor door mensen bediende bedreigingen, omdat het de cybercriminelen in staat stelt de meest gevoelige informatie te vinden en hun aanval zo te plannen dat er zo veel mogelijk schade wordt aangericht.
Hoewel het zeer onwaarschijnlijk is dat individuen ProLock tegenkomen, moeten beveiligingsspecialisten bij allerlei soorten organisaties op hun hoede zijn voor deze dreiging. Na de upgrade en naamswijziging kan de codering van ProLock niet ongedaan worden gemaakt zonder de hulp van zijn operators. Erger nog, ProLock-aanvallen gaan vaak gepaard met data-exfiltratie die verwoestend kan zijn voor organisaties. Bovendien is de decrypter van ProLock historisch gezien onbetrouwbaar. Het decoderen van grote bestanden is herhaaldelijk mislukt. Aan de andere kant, als een organisatie is voorbereid en voldoende verdediging heeft ingezet tegen ransomware en andere bedreigingen, heeft ProLock geen ongebruikelijke of onverwachte manieren om hun netwerk in gevaar te brengen.