Από την αρχή του έτους, μια νέα ransomware συμμορία που ονομάζεται ProLock έχει στοχεύσει μεγάλες εταιρείες και κυβερνητικά δίκτυα, κρυπτογραφώντας σημαντικά αρχεία και ζητώντας τεράστια χρηματικά ποσά.
Η ProLock φαίνεται να είναι η τελευταία συμμορία ransomware που έχει υιοθετήσει την προσέγγιση “big-game hunting“‘. Αυτό σημαίνει ότι επιτίθεται σε μεγάλους και σημαντικούς στόχους που έχουν τη οικονομική δυνατότητα να δώσουν τα τεράστια χρηματικά ποσά που ζητούν οι hackers.
Οι διαχειριστές συστημάτων που διαχειρίζονται αυτά τα μεγάλα δίκτυα είναι πολύ πιθανό να έρθουν αντιμέτωποι με μια επίθεση από το ProLock ransomware.
Ακολουθούν κάποιες σημαντικές πληροφορίες που πρέπει να γνωρίζετε γι’ αυτό το ransomware, για το οποίο έχουν μιλήσει τόσο η Group-IB και η Sophos όσο και το FBI.
ProLock ransomware: Έναρξη
Η συμμορία ProLock ξεκίνησε τις επιθέσεις της στα τέλη του 2019. Αρχικά, η ομάδα ήταν γνωστή με το όνομα PwndLocker. Όταν, ωστόσο, έκανε μια σημαντική αναβάθμιση κώδικα, η συμμορία άλλαξε το όνομά της σε ProLock (τον Μάρτιο του 2020). Η αλλαγή στον κώδικα έγινε όταν οι ερευνητές ασφαλείας εντόπισαν ένα σφάλμα στο αρχικό PwndLocker και κυκλοφόρησαν ένα δωρεάν εργαλείο αποκρυπτογράφησης.
Διανομή
Οι ερευνητές ασφαλείας παρατήρησαν ότι στις περισσότερες περιπτώσεις το ProLock ransomware αναπτυσσόταν σε δίκτυα που είχαν προηγουμένως μολυνθεί με το Qakbot trojan.
Το Qakbot trojan διανέμεται συνήθως μέσω spam emails ή εγκαθίσταται ως “second-stage payload” σε υπολογιστές που είχαν προηγουμένως μολυνθεί με το trojan Emotet. Οι διαχειριστές συστημάτων που βρίσκουν αυτά τα δύο malware, θα πρέπει να απομονώσουν τα συστήματα και να ελέγξουν τα δίκτυά τους, καθώς η συμμορία ProLock μπορεί να ετοιμάζεται να τους επιτεθεί.
Πώς εξαπλώνεται;
Ωστόσο, η συμμορία ProLock αγοράζει συνήθως πρόσβαση σε έναν μόνο υπολογιστή που έχει μολυνθεί από Qakbot και όχι σε ολόκληρα τα δίκτυα. Γι’ αυτό το λόγο, οι hackers πρέπει να επεκτείνουν την πρόσβασή τους από αυτό το αρχικό σημείο εισόδου σε άλλους κοντινούς υπολογιστές, για να κάνουν όσο το δυνατόν μεγαλύτερη ζημιά.
Αυτή η μέθοδος ονομάζεται “lateral movement” και υπάρχουν διάφοροι τρόποι να χρησιμοποιηθεί.
Σύμφωνα με την Group-IB, οι hackers χρησιμοποιούν την Windows ευπάθεια CVE-2019-0859 για να αποκτήσουν πρόσβαση σε μολυσμένους υπολογιστές, σε επίπεδο διαχειριστή. Στη συνέχεια, αναπτύσσουν το εργαλείο MimiKats για να κλέψουν credentials από το μολυσμένο σύστημα.
Ανάλογα με το τι βρίσκει, η συμμορία ProLock μπορεί να χρησιμοποιήσει αυτά τα credentials για να μετακινηθεί σε ένα δίκτυο μέσω RDP, SMB ή μέσω του τοπικού domain controller.
Τέλος, χρησιμοποιείται το WMIC για να εγκαταστήσει το πραγματικό ransomware σε όλους τους παραβιασμένους κεντρικούς υπολογιστές, οπότε και θα αρχίσει η κρυπτογράφηση των αρχείων των θυμάτων.
Επιπτώσεις
Όλες οι επιθέσεις που χρησιμοποιούν την μέθοδο “lateral movement” δεν είναι αυτοματοποιημένες. Υπάρχει τουλάχιστον ένα άτομο που τις χειρίζεται.
Το ProLock ransomware καταφέρνει να μολύνει ένα μεγάλο αριθμό υπολογιστών, καθώς τα άτομα που το χειρίζονται, προσπαθούν να προκαλέσουν όσο το δυνατόν μεγαλύτερη ζημιά, σε όσο το δυνατόν περισσότερα συστήματα.
Η Group-IB λέει ότι αυτή η τακτική επιτρέπει στην ομάδα να ζητήσει μεγάλα χρηματικά ποσά από τα θύματα, τα περισσότερα από τα οποία έρχονται αντιμέτωπα με παρατεταμένη διακοπή στη λειτουργία των υπηρεσιών τους, αν αποφασίσουν να αποκαταστήσουν τα εσωτερικά δίκτυα.
“Το γεγονός ότι οι μέσες απαιτήσεις για λύτρα κυμαίνονται από 35 έως 90 Bitcoin (περίπου 400.000 έως 1.000.000 $) επιβεβαιώνει την υιοθέτηση της προσέγγισης του big-game hunting“, δήλωσε η Group-IB.
Τα ποσά που ζητούν οι συγκεκριμένοι hackers είναι κάτω από το μέσο όρο (1,8 εκατομμύρια δολάρια) ορισμένων άλλων συμμοριών, που ακολουθούν επίσης την προσέγγιση big-game hunting. Ωστόσο, οι επιθέσεις με το ProLock ransomware αυξάνονται σταδιακά τους τελευταίους μήνες. Για παράδειγμα, η Group-IB εντόπισε πρόσφατα μια επίθεση, στην οποία η συμμορία ζήτησε 225 Bitcoin, που είναι περίπου 2,3 εκατομμύρια δολάρια.
Μερικά από τα θύματα της ομάδας είναι ο κατασκευαστής ATM Diebold Nixdorf, η πόλη Novi Sad στη Σερβία και το Lasalle County στο Illinois.
Πληρωμή των λύτρων
Το FBI τονίζει ότι τα θύματα δεν πρέπει να πληρώνουν τα λύτρα, καθώς το εργαλείο αποκρυπτογράφησης του ProLock δεν λειτουργεί πάντα και συνήθως αποτυγχάνει κατά την αποκρυπτογράφηση μεγαλύτερων αρχείων.
Διαρροή δεδομένων των θυμάτων
Οι ερευνητές έχουν παρατηρήσει ότι δεδομένα των θυμάτων του ProLock ransomware έχουν εκτεθεί στο διαδίκτυο. Τα θύματα αυτά ήταν οι εταιρείες που αποφάσισαν να μην πληρώσουν τα λύτρα.
Σε αντίθεση με άλλες συμμορίες, οι χειριστές του ProLock δεν έχουν φτιάξει δικό τους site διαρροής. Προτιμούν να εκθέτουν τα κλεμμένα δεδομένα σε hacking forums ή να τα στέλνουν σε δημοσιογράφους μέσω email.
Η ProLock φαίνεται να είναι η πρώτη συμμορία ransomware που χρησιμοποιεί το Qakbot ως αρχικό σημείο εισόδου, αλλά οι περισσότερες από τις άλλες τακτικές είναι ίδιες με αυτές που χρησιμοποιούν άλλες ομάδες που ακολουθούν την προσέγγιση “big-game hunting”.