ProLock, il ransomware pericoloso con decryptor difettoso

Il nuovo ransomware ProLock ha guadagnato velocemente l'attenzione per gli alti riscatti richiesti. Attenzione però a pagare: il decryptor non funziona come dovrebbe.

Business Consumer Tecnologie/Scenari
Pagare il riscatto dopo un attacco ransomware e non poter tornare in possesso dei dati è un doppio smacco. A quanto pare è quello che è accaduto alle numerose vittime di ProLock, una delle armi più usate dai criminali informatici durante la pandemia di COVID-19. Secondo l'FBI, il decryptor che viene consegnato contiene errori di programmazione che lo rendono inservibile.

Partendo dall'inizio, il malware in oggetto ha esordito sulla scena criminale a fine 2019 come PwndLocker. Si è creato velocemente una reputazione per via di attacchi mirati contro aziende e governi locali. Le richieste di riscatto variano a seconda delle dimensioni della rete compromessa.

In cambio del pagamento di riscatto, si ottiene un decryptor, ossia una chiave per decifrare i dati crittografati dal ransomware. Il problema è che nel caso di ProLock il decryptor non funziona correttamente e i dati andranno comunque persi.
disperatoIl decryptor può potenzialmente danneggiare file di dimensioni superiori a 64 MB e può comportare una perdita di integrità dei file di circa 1 byte per 1 KB su 100 MB. Potrebbe essere necessario aggiungere un codice per far funzionare il decryptor.

A marzo i cyber criminali hanno corretto un bug che consentiva la decifrazione gratuita dei file, e hanno ribattezzato PwndLocker in ProLock. A questo punto l'attività ha iniziato a intensificarsi.

L'attività malevola

Gli esperti di sicurezza di Group-IB ritengono che ProLock abbia agito in collaborazione con il trojan bancario QakBot per ottenere l'accesso alle reti delle vittime. In alternativa i cyber criminali sfruttano configurazioni errate del protocollo RDP o credenziali rubate.

QakBot si limita a eseguire una serie di script per consentire ai suoi operatori di accedere alla rete vittima. In questo modo possono mapparla e muoversi all'interno. Il payload viene estratto da un file BMP o JPG denominato WinMgr e caricato in memoria.
prolock richiesta di riscattoLa richiesta di riscattoCome altri ransomware, ProLock trascorre del tempo nella rete delle vittime alla ricerca di sistemi di alto valore e dati importanti da rubare. Gli operatori ProLock si assicurano di non lasciare alcuna possibilità di recuperare i file senza pagare. Per questo cancellano o crittografano le copie di backup. Le informazioni vengono sottratte utilizzando Rclone, uno strumento a riga di comando per la sincronizzazione con vari servizi di archiviazione cloud.

La richiesta di riscatto include la minaccia di pubblicazione dei dati rubati in caso di mancato pagamento. Quelle finora registrate vanno da un minimo di 175.000 a un massimo di oltre 660.000 dollari. Gli importi e il modus operandi rendono ProLock una minaccia della stessa gravità di Maze, Sodinokibi, Ryuk e LockerGoga, che sono fra quelle più proficue.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Antimalware nel 2020: parola d'ordine Intelligenza Artificiale

Sicurezza delle infrastrutture critiche nel 21mo secolo

Speciale

Coronavirus e sicurezza: proteggersi dal contagio digitale

Speciale

World Backup Day 2020: i consigli per tenere al sicuro i dati

Speciale

Soluzioni anti intrusione per la casa e l'ufficio

Calendario Tutto

Set 16
Come costruire un’azienda sicura? La guida definitiva nel cuore della ripartenza

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori