В этом месяце ИБ-эксперты и правоохранители обратили свое внимание на шифровальщик ProLock, недавно атаковавший одного из крупнейших производителей банкоматов – компанию Diebold Nixdorf.
Специалисты Group-IB посвятили малвари большой отчет. Они рассказывают, что шифровальщик появился в марте 2020 года и является преемником малвари PwndLocker, активной с конца 2019 года (вредонос был переименован в ProLock после того, как эксперты Emsisoft нашли способ расшифровки файлов PwndLocker). Атаки ProLock чаще всего нацелены на финансовые и медицинские организации, государственные учреждения и сектор розничной торговли.
Исследователи Group-IB пишут, что операторы ProLock используют два основных вектора распространения малвари: троян QakBot (Qbot) и незащищенные RDP-серверы со слабыми паролями.
И если с взломом RDP-серверов все ясно, то использование QakBot является весьма интересным вектором распространения. Раньше данный троян связывали с другим семейством шифровальщиков, MegaCortex, но теперь им пользуются операторы ProLock.
Как правило, сам QakBot распространяется через фишинговые кампании. Фишинговое письмо может содержать прикрепленный документ Microsoft Office или ссылку на вредоносный файл, находящийся в облачном хранилище, например, Microsoft OneDrive. Также известны случаи загрузки QakBot другим трояном, Emotet, который широко известен своим участием в кампаниях, распространявших вымогателя Ryuk.
После загрузки и открытия зараженного документа пользователю предлагается разрешить выполнение макросов, в случае успеха осуществляется запуск PowerShell, который позволит загрузить и запустить полезную нагрузку QakBot с командного сервера.
Также предупреждение о ProLock в этом месяце выпустили и специалисты ФБР. Они объясняют, что шифровальщик, судя по всему, вручную управляется операторами, то есть устанавливается в сетях скомпрометированных организаций вручную, а не автоматически.
Хакерские группы нередко взламывают или покупают доступ к взломанной сети какой-либо компании у других злоумышленников. Они берут скомпрометированный хост под контроль, а затем используют его для бокового распространения по сети. Внедрение шифровальщиков происходит уже после этого, в ручном режиме, когда злоумышленники максимально расширят свой доступ.
Именно таким образом операторы ProLock используют Qakbot. Это не уникальный случай: ранее эксперты обнаруживали, что вымогатели Ryuk и Maze часто появляются на компьютерах, ранее зараженных трояном TrickBot, а вымогатель DopplePaymer идет рука об руку с малварью Dridex. При этом пока остается неясным, был ли ProLock создан теми же авторами, что и Qakbot, или операторы ProLock покупают доступ к зараженным Qakbot хостам и сотрудничают с другой хак-группой.
Также ФБР предупредило, что инструмент для расшифровки данных, который жертвам ProLock предоставляют сами злоумышленники, зачастую работает некорректно и не помогает спасти информацию, даже если выкуп был выплачен.
«Расшифровщик потенциально может испортить файлы размером более 64 Мб и привести к повреждению целостности файла, примерно на 1 байт на каждый 1 Кб для файлов свыше 100 Мб», — предупреждает ФБР.