Используя стандартную тактику, операторы программы-вымогателя ProLock смогли развернуть большое количество атак за последние шесть месяцев, в среднем около одной цели каждый день.
После неудачного запуска в конце 2019 года под названием PwndLocker из-за криптографической ошибки, которая позволила бесплатно разблокировать файлы, операторы перезапустили операцию, исправив ошибку и переименовав вредоносное ПО в ProLock.
С самого начала злоумышленник нацелился на высокие цели, нацелившись на корпоративные сети и требуя выкуп от 175 000 до более чем 660 000 долларов.
Новый старт в марте под лейблом ProLock также означал рост активности и большие выкуп. С тех пор средняя цифра выросла до 1,8 миллиона долларов, свидетельствуют данные о реагировании на инциденты от компании Group-IB, занимающейся кибербезопасностью.
Простая и эффективная тактика
Злоумышленник не отдает предпочтения своим целям или сектору их деятельности, если они являются компаниями с большими сетями, способными платить более высокий выкуп. Пока что, похоже, основное внимание уделяется бизнесу в Европе и Северной Америке.
За последние полгода Group-IB обнаружила более 150 операций ProLock, последней жертве было запрошено 225 биткойнов (более 2,3 миллиона долларов по текущей стоимости).
Тактика, методы и процедуры группы просты и эффективны, партнерство с банковским трояном QakBot (QBot) позволяет им составлять карту сети, перемещаться горизонтально и в конечном итоге развертывать программу-вымогатель.
Между первоначальным взломом и запуском процедуры шифрования файлов субъект проводит около месяца в сети, собирая информацию для лучшего нацеливания и извлекая данные (через Rclone ).
Запуск ProLock в целевой сети - это последний шаг атаки, которая обычно начинается с целевого фишингового письма, содержащего вооруженные сценарии VBS и документы Office, которые доставляют QakBot, часто через ответы в перехваченных цепочках электронной почты .
Group-IB обнаружила, что во многих случаях сценарии VBS для загрузки QakBot очень большие, их вес составляет даже 40 МБ, чтобы обойти решения безопасности, которые пропускают сканирование больших файлов.
Оказавшись на целевом хосте, QakBot устанавливает постоянство и гарантирует, что активные средства защиты не обнаруживают его, изменяя реестр Windows, чтобы добавить свои двоичные файлы в список исключений Защитника Windows.
«QakBot также собирает много информации о зараженном хосте, включая IP-адрес, имя хоста, домен и список установленных программ. Благодаря этой информации злоумышленник получает базовое представление о сети и может планировать действия после эксплуатации »- Group-IB
С помощью таких инструментов, как Bloodhound и ADFind, злоумышленник профилирует среду для распространения банковского трояна на другие узлы в сети. В некоторых случаях это делалось вручную с помощью PsExec, что свидетельствует о сильной связи между операторами ProLock и QakBot.
При боковом перемещении также использовался удаленный рабочий стол (RDP), и когда он был недоступен на машине, субъект запускал следующий пакетный скрипт через PsExec, чтобы включить удаленное соединение:
Набор инструментов ProLock включает в себя инструмент постэксплуатации Mimikatz для тестеров на проникновение, который развертывается через программное обеспечение Cobalt strike для участия в красных командах.
Group-IB обнаружила, что злоумышленник иногда полагается на уязвимость в Windows ( CVE-2019-0859 ), которая позволяет им повышать привилегии в скомпрометированных системах.
Согласно сегодняшнему отчету , вредоносное ПО для шифрования файлов попадает на хост либо через QakBot, загруженное с помощью фоновой интеллектуальной службы передачи (BITS) с сервера злоумышленника, либо путем выполнения сценария с использованием инструментария управления Windows (WMIC) на удаленном хосте.
Несмотря на использование стандартных инструментов, атаки ProLock остаются практически незамеченными в сети, что дает им время для подготовки этапа шифрования файлов и кражи данных.
Нападения со стороны этого злоумышленника в последнее время участились, в результате чего ФБР выпустило в этом году два предупреждения FLASH об этом злоумышленнике [ 1 , 2 ]. В первом случае агентство предупреждает, что инструмент дешифрования ProLock может вызвать потерю данных, потому что он не всегда работает должным образом.
Group-IB заявила, что не может проверить это заявление, потому что никто из их клиентов не должен был платить выкуп.
Перевод с английского - Google