В последние месяцы появился новый тип атак с использованием программ-вымогателей, поднявших красные флаги среди сообщества кибербезопасности и таких властей, как ФБР в США.Согласно отчету, опубликованному 17 мая, компания по кибербезопасности Group-IB предупредила, что она имеет форму трояна.
Согласно исследованию Group-IB, вымогатель известен как ProLock и полагается на банковский троян Qakbot для запуска атаки и запрашивает цели для выкупа из шести цифр долларов США, выплаченных в BTC, для расшифровки файлов.
Список жертв включает местные органы власти, финансовые, медицинские и розничные организации.Среди них атака, которую Group-IB считает наиболее заметной, была направлена против провайдера банкоматов Diebold Nixdorf.
35 BTC как общая сумма оплаты в атаке ProLock
ФБР сообщило, что атака ProLock первоначально получает доступ к сетям жертвы через фишинговые электронные письма, которые часто доставляют документы Microsoft Word.Затем Qakbot вмешивается в настройку протокола удаленного рабочего стола и крадет учетные данные для входа в систему с однофакторной аутентификацией.
По данным Group-IB, атака вымогателей требует в общей сложности 35 BTC – на момент публикации в прессе – 337 750 долларов.Тем не менее, исследование Bleeping Computer показывает, что ProLock требует в среднем от 175 000 до 660 000 долл. На одну атаку в зависимости от размера целевой сети.
В беседе с Cointelegraph Бретт Каллоу, аналитик угроз в лаборатории вредоносных программ Emsisoft, объяснил некоторые детали этой новой киберугрозы:
«ProLock необычна тем, что написана на ассемблере и развернута с использованием Powershell и шеллкода.Вредоносный код хранится в файлах XML, видео или изображений.Примечательно, что расшифровщик ProLock, поставляемый злоумышленниками, не работает правильно и повреждает данные в процессе расшифровки ».
Коллоу добавил, что, хотя Emsisoft разработал расшифровщик для восстановления данных жертв, затронутых ProLock, без потерь, такое программное обеспечение не устраняет необходимость выплаты выкупа, поскольку оно полагается на ключ, предоставленный преступниками.
ProLock не пропускает украденные данные
Хотя методы, используемые операторами ProLock, аналогичны методам известных групп вымогателей, которые фильтруют украденные данные, такие как Sodinokibi и Maze, Group-IB пояснила следующее:
«В отличие от своих коллег, у операторов ProLock до сих пор нет веб-сайта, на котором они публикуют отфильтрованные данные компаний, которые отказываются выплачивать выкуп».
Последние атаки вымогателей
сообщалось о нескольких атаках вымогателей в последние недели.
Группа по вымогательству Maze 19 мая заявила, что взломала производителя яиц в США Sparboe, опубликовав предварительную информацию на сайте, чтобы доказать, что они совершили нападение.
Недавно банда вымогателей REvil угрожала выпустить почти 1 ТБ частных юридических секретов от крупнейших мировых звезд музыки и кино, таких как Леди Гага, Элтон Джон, Роберт Де Ниро, Мадонна и другие.
