Drugie ostrzeżenie FBI dotyczące oprogramowania ransomware ProLock
Po ostrzeżeniu opinii publicznej o tym, jak niebezpieczny może być ProLock w maju 2020 r., W pierwszym tygodniu września FBI wydało drugie ostrzeżenie o zagrożeniu ransomware. Ostrzeżenie jest skierowane głównie do dużych organizacji prywatnych lub rządowych. Operatorzy ProLock w przeszłości dążyli do takich celów. Duże organizacje mają większe szanse na zapłacenie ogromnego okupu, a ProLock jest znany z żądań okupu sięgających czasami ponad 2 miliony dolarów.
Spis treści
Historia
ProLock jest stosunkowo nowy na scenie oprogramowania ransomware, który pojawił się po raz pierwszy pod koniec 2019 r. W tamtym czasie cyberprzestępcy używali innej nazwy - PwndLocker . Zmieniło się to w marcu 2020 roku po tym, jak eksperci ds. Bezpieczeństwa znaleźli lukę w kodzie PwndLocker. Błąd był na tyle znaczący, że umożliwił ekspertom wymyślenie darmowego dekryptera. To skłoniło do stworzenia nowej wersji, która zawierała nowy kod i nową nazwę - ProLock.
Wektory infekcji
ProLock to zagrożenie obsługiwane przez człowieka, a cyberprzestępcy korzystający z ProLock wykorzystywali błędy w konfiguracji systemu lub skradzione dane uwierzytelniające w celu uzyskania dostępu do sieci. W pewnym momencie około maja 2020 roku ProLock rozpoczął współpracę z QakBotem znanym jako Qbot. QakBot zaczynał jako trojan bankowy i podobnie jak większość trojanów bankowych przekształcił się w potężny system dostarczania złośliwego oprogramowania. Współpraca z QakBot była dużym krokiem dla cyberprzestępców ProLock, ponieważ QakBot znacznie zwiększył liczbę zainfekowanych sieci.
Ransomware obsługiwane przez ludzi
W interesie dokładności operatorzy ProLock prawdopodobnie uzyskują dostęp do pojedynczej zainfekowanej maszyny, a następnie przemieszczają się w poprzek sieci, w której znajduje się maszyna. Jest to typowa taktyka w przypadku zagrożeń obsługiwanych przez człowieka, ponieważ umożliwia cyberprzestępcom znalezienie najbardziej wrażliwych informacji i zaplanowanie ataku tak, aby wyrządził jak najwięcej szkód.
Chociaż jest bardzo mało prawdopodobne, aby ludzie zetknęli się z ProLock, specjaliści ds. Bezpieczeństwa w organizacjach wszelkiego rodzaju muszą uważać na to zagrożenie. Po aktualizacji i zmianie nazwy szyfrowania ProLock nie można cofnąć bez pomocy jego operatorów. Co gorsza, atakom ProLock często towarzyszy eksfiltracja danych, która może mieć katastrofalne skutki dla organizacji. Co więcej, dekrypter ProLock był w przeszłości zawodny. Odszyfrowanie dużych plików wielokrotnie kończyło się niepowodzeniem. Z drugiej strony, jeśli organizacja jest przygotowana i wdrożyła wystarczającą ochronę przed oprogramowaniem ransomware i innymi zagrożeniami, ProLock nie ma żadnych niezwykłych ani nieoczekiwanych sposobów na złamanie zabezpieczeń swojej sieci.