Ransomware ProLock – tudo que você precisa saber

Imagem: Grupo-IB

Desde o início do ano, uma nova gangue de ransomware chamada ProLock construiu seu nome  invadindo  grandes empresas e redes governamentais, criptografando arquivos e exigindo enormes pagamentos de resgate.

ProLock é a mais recente gangue de ransomware que adotou a abordagem de “caça grande” em suas operações. A caça grossa refere-se a ir atrás de alvos maiores a fim de extrair grandes pagamentos das vítimas que podem pagar.

Os administradores de sistema que gerenciam essas redes maiores têm maior probabilidade de ver ataques desse grupo específico.

Abaixo está um breve resumo de todas as atividades do ProLock que os administradores de sistema precisam estar cientes, com base em relatórios publicados pelo  Group-IB,  Sophos e dois alertas do FBI [ 1, 2 ].

Início do ProLock

A gangue do ProLock começou sua atividade (ataques) no final de 2019. Eles inicialmente operavam com o nome de PwndLocker, mas implementaram uma grande atualização de código e  mudaram seu nome para ProLock  em março de 2020, depois que pesquisadores de segurança identificaram um bug na cepa PwndLocker original e lançou um descriptografador gratuito.

Na maioria dos incidentes analisados ​​por pesquisadores de segurança, o ransomware ProLock foi implantado em redes que foram previamente infectadas com o trojan Qakbot.

O cavalo de Troia Qakbot é distribuído por meio de campanhas de spam por e-mail ou é descartado como uma carga útil de segundo estágio em computadores previamente infectados com o cavalo de Troia Emotet. Os administradores de sistema que encontrarem computadores infectados com qualquer uma dessas duas cepas de malware devem isolar os sistemas e auditar suas redes, pois a gangue do ProLock pode já estar perambulando por seus sistemas.

Lateral movement

Mas como a gangue do ProLock geralmente compra acesso a um computador infectado pelo Qakbot e não a redes inteiras, eles também precisam expandir seu acesso desse ponto de entrada inicial para outros computadores próximos, para dano máximo.

Essa operação é chamada de “movimento lateral” e há várias maneiras de a gangue do ProLock fazer isso.

O Group-IB diz que o ProLock usa a vulnerabilidade CVE-2019-0859 do Windows para obter acesso de nível de administrador em hosts infectados e, em seguida, implanta a ferramenta MimiKats para despejar credenciais do sistema infectado.

Dependendo do que encontrarem, a turma do ProLock pode usar essas credenciais para se mover lateralmente em uma rede via RDP, SMB ou via controlador de domínio local.

O WMIC é usado no último momento para enviar o ransomware real para todos os hosts comprometidos, onde criptografa arquivos e, de acordo com a Sophos, reproduz o tom de alerta do sistema operacional no final para sinalizar o fim da rotina de criptografia.

Impacto

Todas as operações necessárias para se mover lateralmente em uma rede são executadas por um operador humano na frente de um terminal – e não são automatizadas.

Como resultado, os incidentes do ProLock geralmente conseguem infectar um grande número de computadores, pois o operador humano do ProLock espera seu tempo para maximizar os danos.

O Grupo IB diz que essa tática permite que o grupo exija taxas de descriptografia muito altas das vítimas, a maioria das quais enfrentam tempos de inatividade prolongados, caso decidam reconstruir as redes internas.

“O fato de que suas demandas de resgate médias variam de 35 a 90 Bitcoin (aproximadamente $ 400.000 a $ 1.000.000) apenas confirma sua estratégia de ‘pensar grande'”, disse o Grupo IB em um relatório privado divulgado hoje pela ZDNet.

Essas somas estão abaixo da média (US $ 1,8 milhão) de algumas outras gangues de ransomware de caça de grande porte, mas as extorsões do ProLock têm aumentado gradualmente nos últimos meses. Por exemplo, o Group-IB disse à ZDNet que o recente caso ProLock que eles rastrearam envolveu um resgate de 225 Bitcoin, que é de cerca de US $ 2,3 milhões.

Algumas das vítimas anteriores do grupo incluem grandes nomes como o fabricante de caixas eletrônicos Diebold Nixdorf, a cidade de Novi Sad na Sérvia e o condado de Lasalle em Illinois.

Pagando o resgate

Mas apesar dos danos que esse grupo de ransomware pode causar, em um de seus dois alertas, o FBI alertou as organizações contra o pagamento do resgate, já que o descriptografador ProLock que as vítimas recebem nem sempre funciona como pretendido e geralmente falha ao descriptografar arquivos maiores.

Vítima envergonhada

Além disso, o ProLock também foi visto em alguns incidentes vazando dados das redes das vítimas que eles infectaram e que se recusaram a pagar.

Enquanto alguns outros grupos de ransomware criaram  sites especiais  onde vazam esses dados, o ProLock prefere despejá-los em fóruns de hackers ou repassá-los aos jornalistas por e-mail.

Ao todo, o ProLock parece ser a primeira gangue de ransomware que usa Qakbot como um ponto de entrada inicial, mas a maioria de suas outras táticas são compartilhadas com a maioria das outras gangues de caça de grandes jogos e ransomware operados por humanos – portanto, defender redes contra ProLock deve ser simples para empresas que já tomaram precauções contra outros grupos de ransomware.

Fonte: https://www.zdnet.com/article/prolock-ransomware-everything-you-need-to-know/