Nowe oprogramowanie ransomware wykorzystuje trojana do atakowania rządów i firm

W ostatnich miesiącach pojawił się nowy rodzaj ataku ransomware, podnosząc czerwone flagi wśród społeczności cyberbezpieczeństwa i władz, takich jak FBI w Stanach Zjednoczonych. Firma Cybersecurity Group-IB ostrzega, że ​​ma postać trojana, wynika z raportu opublikowanego 17 maja.

Według badań grupy IB oprogramowanie ransomware jest znane jako ProLock i polega na trojanie bankowym Qakbot i w celu przeprowadzenia ataku prosi cele o sześciocyfrowe okupy wypłacane w BTC w celu odszyfrowania plików.

Lista ofiar obejmuje samorządy, organizacje finansowe, opieki zdrowotnej i detaliczne. Wśród nich atak, który Grupa IB uważa za najbardziej zauważalny, był wymierzony przeciwko dostawcy bankomatów Dieboldowi Nixdorfowi.

35 BTC jako łączna płatność za atak ProLock

FBI wyszczególniło, że atak ProLock początkowo uzyskuje dostęp do sieci ofiar poprzez wiadomości phishingowe, które często dostarczają dokumenty Microsoft Word. Następnie Qakbot zakłóca konfigurację protokołu zdalnego pulpitu i kradnie dane logowania do systemów z uwierzytelnianiem jednoskładnikowym.

Według Group-IB, ataki ransomware wymagają całkowitej zapłaty 35 BTC – o wartości 337 750 $ w czasie pisania artykułu. Jednak badanie Bleeping Computer pokazuje, że ProLock wymaga średnio od 175 000 do 660 000 USD na atak, w zależności od wielkości docelowej sieci.

W rozmowie z Cointelegraph, Brett Callow, analityk ds. Zagrożeń w laboratorium szkodliwego oprogramowania Emsisoft, wyjaśnił kilka szczegółów na temat tego nowego zagrożenia cybernetycznego:

„ProLock jest niezwykły, ponieważ jest napisany w asemblerze i wdrożony przy użyciu Powershell i shellcode. Złośliwy kod jest przechowywany w plikach XML, wideo lub obrazów. W szczególności deszyfrator ProLock dostarczony przez przestępców nie działa poprawnie i uszkodził dane podczas procesu deszyfrowania. ”

Callow dodał, że chociaż Emsisoft opracował deszyfrator do odzyskiwania danych ofiar dotkniętych ProLock bez strat, takie oprogramowanie nie eliminuje konieczności płacenia okupu, ponieważ zależy od klucza dostarczonego przez przestępców.

ProLock nie wypuszcza skradzionych danych

Chociaż techniki stosowane przez operatorów ProLock są podobne do znanych grup ransomware, które filtrują skradzione dane, takie jak Sodinokibi i Maze, grupa IB wyjaśniła, co następuje:

„Jednak w przeciwieństwie do swoich rówieśników operatorzy ProLock nadal nie mają strony internetowej, na której publikują wyfiltrowane dane firm, które odmawiają zapłaty okupu”.
Najnowsze ataki ransomware

Maze, grupa Ransomware, twierdzi, że ​​zhakowała amerykańskiego producenta jaj Sparboe, ujawniając wstępne informacje na stronie internetowej, aby udowodnić, że popełniła atak.

Gang ransomware o nazwie REvil niedawno zagroził ujawnieniem prawie 1 TB prywatnych tajemnic prawnych największych światowych gwiazd muzyki i filmu, takich jak Lady Gaga, Elton John, Robert DeNiro, Madonna.


REKLAMA