ProLock: um ransomware que se espalha ativamente e exige grandes resgates

O ransomware ProLock, uma versão renomeada do PwndLocker, está ativo desde março de 2020. Os invasores por trás desse ransomware começaram suas atividades no final de 2019 e renomearam o PwndLocker após a descoberta de um bug de criptografia naquele malware.

O ransomware ProLock foi detectado recentemente como alvo de redes de grandes empresas e governos que pediam enormes pedidos de resgate .

Principais alvos do ProLock

As perseguições de gangues de ransomware ProLock visam apenas grandes entidades em busca de recompensas maiores. Seus pedidos de resgate sempre permaneceram altos, variando entre US $ 175.000 e US $ 1,8 milhão.

  • Em um curto espaço de tempo, a gangue de ransomware visou vários setores, incluindo saúde, governo, financeiro e varejo.
  • Descobriu-se que uma versão recente do ProLock contém uma lista de cerca de 150 produtos de software que o malware tenta localizar e matar na memória. Isso inclui vários aplicativos empresariais, software de segurança e ferramentas de backup.
  • Em maio, a gangue de ransomware atingiu a Diebold Nixdorf, um grande provedor de caixas eletrônicos (ATM).

Propagação técnica

  • O ransomware usa credenciais RDP fracas e campanhas de phishing para se espalhar, junto com técnicas exclusivas de evasão de defesa. Sua carga geralmente está oculta dentro de um arquivo BMP ou JPG.
  • Para o movimento lateral, o ransomware usa a vulnerabilidade CVE-2019-0859 do Windows para obter acesso de nível de administrador. Ele usa a ferramenta MimiKatz para roubar credenciais do sistema comprometido.

Equipe recente com Qakbot

Em maio, o ProLock se associou ao QakBot Trojan para acessar as redes das vítimas. Depois de obter acesso, o ransomware se propaga ainda mais dentro de uma rede comprometida para maximizar suas infecções.

Conclusão

O FBI emitiu recentemente o segundo alerta sobre a ameaça do ransomware ProLock. Observando a gravidade da ameaça, as organizações devem corrigir regularmente seu sistema operacional e software para interromper a exploração de qualquer vulnerabilidade conhecida pelo ransomware.

Fonte: https://cyware.com/news/prolock-a-ransomware-spreading-actively-and-demanding-big-ransoms-1eeb9c06