FBI: el ransomware ProLock obtiene acceso a las redes de víctimas a través de infecciones Qakbot


FBI

Imagen: FBI, ZDNet, Florian Krumm

El FBI emitió una alerta de seguridad a principios de este mes sobre una nueva cepa de ransomware llamada ProLock que se ha implementado en intrusiones en organizaciones de atención médica, entidades gubernamentales, instituciones financieras y organizaciones minoristas.

Descubierto por primera vez en marzo de 2020, ProLock es parte de la categoría de «ransomware operado por humanos».

Estas son cepas de ransomware que se instalan manualmente en las redes de empresas pirateadas. Las pandillas de piratas informáticos violan o alquilan el acceso a una crimson pirateada, toman el management guide del host infectado, se propagan lateralmente a través de la purple y luego implementan el ransomware después de que han maximizado su acceso.

En el caso de ProLock, el FBI dice que este grupo obtiene acceso a redes pirateadas a través del troyano Qakbot (Qbot). Empresa de ciberseguridad Grupo IB informado viendo lo mismo la semana pasada.

Esta relación entre el operador de un cuentagotas de malware y una pandilla de ransomware no es única. Se ha visto antes con las cepas de ransomware Ryuk y Maze instaladas en computadoras previamente infectadas con TrickBot, y con cepas DopplePaymer caídas en computadoras infectadas con Dridex.

Al momento de escribir esto, no está claro si el ransomware ProLock fue creado y administrado por la pandilla Qakbot, o si la pandilla ProLock alquila acceso a hosts infectados con Qakbot parte de un esquema de Crimeware como servicio.

Teniendo en cuenta los informes del FBI y del Grupo IB, esto ahora también significa que computadoras dentro de una organización que han sido infectadas con Qakbot debe estar aislado del resto de la red tan pronto como sea posible, ya que puede servir como puntos de entrada para una pandilla de ransomware.

El desencriptador ProLock no funciona correctamente

Además de advertir sobre la relación entre Qakbot y ProLock, el FBI también advirtió a las víctimas sobre los errores en el descifrador ProLock, la aplicación que la pandilla ProLock proporciona a las víctimas para descifrar sus archivos después de pagar el rescate.

«La clave de descifrado o &#39descifrador&#39 proporcionada por los atacantes al pagar el rescate no se ha ejecutado correctamente de forma rutinaria», dijo el FBI.

«El descifrador puede corromper potencialmente archivos de más de 64 MB y puede provocar una pérdida de integridad de archivo de aproximadamente 1 byte por 1 KB por encima de 100 MB».

El FBI dice que el desencriptador a veces puede necesitar modificarse para que funcione correctamente, incurriendo en costos adicionales de negocios perdidos para las organizaciones. Esto recuerda los errores de descifrado encontrados anteriormente en el ransomware Ryuk.

El ransomware ProLock se detectó por primera vez en marzo de 2020. Inicialmente recibió el nombre de PwndLocker, pero cambió su nombre a ProLock después de Emsisoft encontró una manera de descifrar archivos bloqueado por la primera versión.

Las fuentes le dijeron a ZDNet que el FBI envió la alerta instantánea a las organizaciones estadounidenses después de Gigante de cajero automático Diebold Nixdorf fue infectado con ProLock a finales de abril.

Se puede encontrar una copia de la alerta de seguridad flash del FBI aquí.



Enlace a la noticia original