FBI: decriptatore di ProLock ransomware non funziona correttamente

FBI: decriptatore di ProLock ransomware non funziona correttamente

L'FBI ha emesso un avviso di sicurezza all'inizio di questo mese su un nuovo ceppo di ransomware chiamato ProLock che è stato implementato nelle intrusioni presso organizzazioni sanitarie, enti governativi, istituti finanziari e organizzazioni di vendita al dettaglio.

Avvistato per la prima volta nel marzo 2020, ProLock fa parte della categoria dei "ransomware gestiti dall'uomo".

Si tratta di varietà di ransomware che vengono installate manualmente sulle reti di aziende compromesse. Le bande di hacker violano o noleggiano l'accesso a una rete compromessa, prendono il controllo manuale dell'host infetto, si diffondono lateralmente attraverso la rete e quindi distribuiscono il ransomware dopo aver massimizzato il loro accesso.

Nel caso di ProLock, l'FBI afferma che questo gruppo accede alle reti compromesse tramite il trojan Qakbot (Qbot). La società di sicurezza informatica Group-IB ha riferito di aver visto la stessa cosa la scorsa settimana.

Questa relazione tra l'operatore di un contagocce malware e una banda di ransomware non è unica. È stato visto prima con i ceppi ransomware Ryuk e Maze installati su computer precedentemente infettati da TrickBot e con i ceppi DopplePaymer rilasciati su computer infettati da Dridex.

Al momento della stesura di questo documento, non è chiaro se il ransomware ProLock sia stato creato e gestito dalla banda Qakbot o se la banda ProLock noleggi l'accesso agli host infetti da Qakbot parte di uno schema Crimeware-as-a-Service.

Tenendo conto dei rapporti dell'FBI e del Group-IB, questo significa anche che i computer all'interno di un'organizzazione che sono stati trovati infetti da Qakbot devono essere isolati dal resto della rete il prima possibile, poiché possono fungere da punti di ingresso per una banda di ransomware .

DECIFRATORE PROLOCK NON FUNZIONA CORRETTAMENTE

Oltre a mettere in guardia sulla relazione tra Qakbot e ProLock, l'FBI ha anche avvertito le vittime di bug nel decriptatore ProLock, l'app che la banda ProLock fornisce alle vittime per decifrare i loro file dopo aver pagato il riscatto.

"La chiave di decrittazione o" decriptatore "fornita dagli aggressori dopo aver pagato il riscatto non è stata regolarmente eseguita correttamente", ha detto l'FBI.

"Il decryptor può potenzialmente danneggiare file di dimensioni superiori a 64 MB e può comportare una perdita di integrità dei file di circa 1 byte per 1 KB su 100 MB."

L'FBI afferma che a volte potrebbe essere necessario modificare il decodificatore per funzionare correttamente, sostenendo costi aggiuntivi dalla perdita di attività alle organizzazioni. Questo ricorda i bug di decrittazione precedentemente trovati nel ransomware Ryuk .

Il ransomware ProLock è stato individuato per la prima volta nel marzo 2020. Inizialmente si chiamava PwndLocker ma è stato rinominato ProLock dopo che Emsisoft ha trovato il modo di decodificare i file bloccati dalla prima versione.

Fonti hanno riferito a ZDNet che l'FBI ha inviato l'allarme flash alle organizzazioni statunitensi dopo che il colosso del bancomat Diebold Nixdorf era stato infettato da ProLock alla fine di aprile.

Una copia dell'avviso di sicurezza flash dell'FBI è disponibile qui.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.