18 Maggio 2020 - Tempo di lettura: 13 minuti
L'FBI ha emesso un avviso di sicurezza all'inizio di questo mese su un nuovo ceppo di ransomware chiamato ProLock che è stato implementato nelle intrusioni presso organizzazioni sanitarie, enti governativi, istituti finanziari e organizzazioni di vendita al dettaglio.
Avvistato per la prima volta nel marzo 2020, ProLock fa parte della categoria dei "ransomware gestiti dall'uomo".
Si tratta di varietà di ransomware che vengono installate manualmente sulle reti di aziende compromesse. Le bande di hacker violano o noleggiano l'accesso a una rete compromessa, prendono il controllo manuale dell'host infetto, si diffondono lateralmente attraverso la rete e quindi distribuiscono il ransomware dopo aver massimizzato il loro accesso.
Nel caso di ProLock, l'FBI afferma che questo gruppo accede alle reti compromesse tramite il trojan Qakbot (Qbot). La società di sicurezza informatica Group-IB ha riferito di aver visto la stessa cosa la scorsa settimana.
Questa relazione tra l'operatore di un contagocce malware e una banda di ransomware non è unica. È stato visto prima con i ceppi ransomware Ryuk e Maze installati su computer precedentemente infettati da TrickBot e con i ceppi DopplePaymer rilasciati su computer infettati da Dridex.
Al momento della stesura di questo documento, non è chiaro se il ransomware ProLock sia stato creato e gestito dalla banda Qakbot o se la banda ProLock noleggi l'accesso agli host infetti da Qakbot parte di uno schema Crimeware-as-a-Service.
Tenendo conto dei rapporti dell'FBI e del Group-IB, questo significa anche che i computer all'interno di un'organizzazione che sono stati trovati infetti da Qakbot devono essere isolati dal resto della rete il prima possibile, poiché possono fungere da punti di ingresso per una banda di ransomware .
Oltre a mettere in guardia sulla relazione tra Qakbot e ProLock, l'FBI ha anche avvertito le vittime di bug nel decriptatore ProLock, l'app che la banda ProLock fornisce alle vittime per decifrare i loro file dopo aver pagato il riscatto.
"La chiave di decrittazione o" decriptatore "fornita dagli aggressori dopo aver pagato il riscatto non è stata regolarmente eseguita correttamente", ha detto l'FBI.
"Il decryptor può potenzialmente danneggiare file di dimensioni superiori a 64 MB e può comportare una perdita di integrità dei file di circa 1 byte per 1 KB su 100 MB."
L'FBI afferma che a volte potrebbe essere necessario modificare il decodificatore per funzionare correttamente, sostenendo costi aggiuntivi dalla perdita di attività alle organizzazioni. Questo ricorda i bug di decrittazione precedentemente trovati nel ransomware Ryuk .
Il ransomware ProLock è stato individuato per la prima volta nel marzo 2020. Inizialmente si chiamava PwndLocker ma è stato rinominato ProLock dopo che Emsisoft ha trovato il modo di decodificare i file bloccati dalla prima versione.
Fonti hanno riferito a ZDNet che l'FBI ha inviato l'allarme flash alle organizzazioni statunitensi dopo che il colosso del bancomat Diebold Nixdorf era stato infettato da ProLock alla fine di aprile.
Una copia dell'avviso di sicurezza flash dell'FBI è disponibile qui.