ΑρχικήsecurityΤο FBI προειδοποιεί ότι το ProLock ransomware είναι η νέα απειλή

Το FBI προειδοποιεί ότι το ProLock ransomware είναι η νέα απειλή

Πολλοί hackers είδαν τη νέα πανδημία του Covid 19 ως την τέλεια ευκαιρία να επικεντρωθούν σε έναν ήδη υπερφορτωμένο τομέα υγειονομικής περίθαλψης. Το ProLock ransomware είναι μια ακόμη απειλή που προστίθεται στην λίστα.

Το FBI‌ εξέδωσε μια ειδοποίηση στις αρχές του μήνα για να ειδοποιήσει τους οργανισμούς για τον νέο παράγοντα απειλής, λέγοντας ότι οι στόχοι του στις ΗΠΑ περιλαμβάνουν οντότητες στους ακόλουθους τομείς: υγειονομική περίθαλψη, κυβέρνηση, χρηματοοικονομικά και λιανική.

ProLock ransomware

Δυσλειτουργία αποκρυπτογράφησης

Το FBI δεν σας ενθαρρύνει να υποκύψετε στις απαιτήσεις οποιουδήποτε hacker. Κάτι τέτοιο θα αύξανε μόνο την αυτοπεποίθηση τους για συνέχιση τέτοιων επιθέσεων.

Με το ProLock, ο αποκρυπτογράφος δεν λειτουργεί σωστά και τα δεδομένα θα χαθούν. Αρχεία μεγαλύτερα από 64MB ενδέχεται να καταστραφούν κατά τη διαδικασία αποκρυπτογράφησης.

Η απώλεια ακεραιότητας 1 byte ανά 1KB είναι δυνατή με αρχεία άνω των 100MB και μπορεί να χρειαστεί επιπλέον δουλειά για να λειτουργήσει σωστά ο αποκρυπτογράφος. Αυτό το ζήτημα θα αυξήσει το χρόνο διακοπής λειτουργίας ενός οργανισμού ακόμη και εάν συμφωνούν με τις απαιτήσεις του hacker.

Το malware ξεκίνησε ως PwndLocker στα τέλη του 2019, αλλά έκανε φήμη στοχεύοντας επιχειρήσεις και τοπικές κυβερνήσεις, προσαρμόζοντας τις απαιτήσεις λύτρων στο μέγεθος του συμβιβασμένου δικτύου.

Αφού επιδιορθώθηκε ένα σφάλμα που επέτρεπε την δωρεάν αποκρυπτογράφηση, το PwndLocker εμφανίστηκε ως ProLocker τον Μάρτιο και η δραστηριότητά του άρχισε να κλιμακώνεται.

Είσοδος στο δίκτυο

Όπως επισημαίνει η εταιρία cybersecurity Group-IB‌ σε μια πρόσφατη αναφορά, το ProLock συνεργάστηκε με το QakBot banking trojan για να αποκτήσει πρόσβαση στα δίκτυα των θυμάτων. Αυτό πιθανότατα συνέβαλε στην άνοδο της φήμης αυτού του ransomware.

Το Trojan δεν εγκαθιστά αυτήν την οικογένεια ransomware, αλλά τρέχει ένα script για να αφήσει τους hackers να εισβάλλουν στο δίκτυο των θυμάτων, ώστε να μπορούν να το χαρτογραφήσουν και να μετακινηθούν πλευρικά. Το payload εξάγεται από ένα αρχείο BMP ή JPG με το όνομα WinMgr και φορτώνεται στη μνήμη.

Όπως και άλλοι χειριστές ransomware, το ProLock ξοδεύει λίγο χρόνο στο δίκτυο των θυμάτων αναζητώντας συστήματα υψηλής αξίας και σημαντικά δεδομένα για κλοπή. Οι πληροφορίες αποστέλλονται χρησιμοποιώντας το Rclone ένα εργαλείο γραμμής εντολών για συγχρονισμό με διάφορες υπηρεσίες αποθήκευσης cloud.

Η απαίτηση λύτρων μετά την κρυπτογράφηση έρχεται με την απειλή ότι τα δεδομένα των θυμάτων θα κυκλοφορούν σε δημόσιους ιστότοπους και social media, εκτός εάν δεν ληφθεί πληρωμή για αποκρυπτογράφηση.

Άλλες μέθοδοι περιλαμβάνουν το εσφαλμένο διαμορφωμένο πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας (RDP). Για δίκτυα με έλεγχο ταυτότητας ενός παράγοντα, ο hacker χρησιμοποιεί κλεμμένα στοιχεία σύνδεσης.

Μόλις μπουν μέσα, οι χειριστές του ProLock βεβαιωθούν ότι δεν αφήνουν καμία επιλογή για την ανάκτηση των αρχείων χωρίς πληρωμή. Εάν βρεθούν αντίγραφα ασφαλείας και σκιώδη αντίγραφα, είτε διαγράφονται είτε κρυπτογραφούνται.

Με απαιτήσεις λύτρων μεταξύ 175.000 $ και πάνω από 660.000 $, το ProLock είναι τόσο σοβαρή απειλή όσο και άλλες, πιο διαβόητες οικογένειες ransomware όπως τα Maze, Sodinokibi, Ryuk ή LockerGoga, οι οποίες θεωρούνται κορυφαίοι εργαζόμενοι στην επιχείρηση ransomware.

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS