O FBI emitiu um segundo alerta instantâneo sobre o ransomware ProLock

O FBI emitiu a Notificação da Indústria Privada 20200901-001 sobre dados de roubo de ransomware ProLock em 1º de setembro. O novo alerta é o segundo relacionado a esta ameaça, o primeiro (Alerta Flash MI-000125-MW) foi publicado em 4 de maio de 2020.

Na época, o Feds alertou que o descriptografador do ProLock não estava funcionando corretamente e que seu uso poderia destruir definitivamente os dados. O descritor pode corromper arquivos maiores que 64 MB durante o processo de descriptografia.

O ransomware PwndLocker operado por humanos apareceu pela primeira vez no cenário de ameaças no final de 2019, as demandas dos operadores variaram de $ 175.000 a mais de $ 660.000 em Bitcoin.

De acordo com o FBI, os operadores por trás da ameaça obtêm acesso a redes hackeadas por meio do  cavalo de  Troia Qakbot (Qbot), mas especialistas do Group-IB acrescentam que eles também têm como alvo servidores RDP (Remote Desktop Protocol) desprotegidos com credenciais fracas. Ainda não está claro se o ransomware ProLock foi gerenciado pela gangue Qakbot ou se os operadores do ProLock pagam para obter acesso a hosts infectados com Qakbot para entregar seu malware.

“Os operadores do ProLock usaram dois vetores principais de acesso inicial: QakBot (Qbot) e servidores desprotegidos Remote Desktop Protocol (RDP) com credenciais fracas.” lê um relatório  publicado pelo Group-IB.

“A última é uma técnica bastante comum entre os operadores de ransomware. Esse tipo de acesso geralmente é comprado de terceiros, mas também pode ser obtido por membros do grupo ”.

Em março, os agentes de ameaças por trás do PwndLocker mudaram o nome de seu malware para ProLock, imediatamente após a empresa de segurança Emsisoft lançar uma ferramenta de descriptografia gratuita.

O ransomware ProLock foi empregado em ataques contra organizações em todo o mundo de vários setores, incluindo construção, finanças, saúde e jurídico. O malware também foi usado em ataques dirigidos a agências governamentais e entidades industriais dos Estados Unidos.

Os operadores de ransomware costumavam fazer upload dos dados roubados para plataformas de armazenamento em nuvem, incluindo OneDrive, Google Drive e Mega. Os atores da ameaça empregaram a   ferramenta de linha de comando de sincronização de armazenamento em nuvem Rclone .

O FBI está recomendando as vítimas de ataques de ransomware para evitar pagar o resgate para descriptografar seus arquivos e relatar imediatamente os ataques às autoridades.

O FBI também fornece recomendações para mitigar os riscos associados a ataques de ransomware, como backup periódico dos dados em um sistema de backup off-line, manter qualquer software atualizado, desativar acessos RDP não utilizados, uso de autenticação de dois fatores (2FA) qualquer lugar possível.

Fonte: https://securityaffairs.co/wordpress/107920/malware/prolock-ransomware-fbi-alert.html