ФБР отправи второ предупреждение тази седмица към световните компании за операторите на рансъмуер ProLock, които крадат данни от компрометирани мрежи, преди да криптират системите на жертвите си.
Уведомлението за частната индустрия 20200901-001, от 1 септември, идва след флаш предупреждението MI-000125-MW по същия въпрос, издадено от ФБР преди четири месеца, на 4 май 2020 г.
Предишният сигнал на ФБР също предупреди частните партньори в индустрията, че декрипторът на ProLock не работи правилно и че данните ще бъдат загубени, тъй като файловете над 64 MB могат да бъдат повредени като част от процеса на дешифриране.
Рансъмуерът ProLock стартира като PwndLocker в края на 2019 г., като бавно си изгради репутация, като се насочи както към бизнеса, така и към местните власти.
PwndLocker се ребрандира като ProLocker през март, след като поправи грешка, която позволяваше безплатно дешифриране на заключени файлове, и активността му започна да ескалира, като отново започна да се насочва към корпоративни мрежи.
Повишаването на активността най-вероятно е причинено от партньорството с банковата банда QakBot, което значително улесни получаването на достъп до мрежи на нови жертви.
Рекетът на ProLock може да достигне почти 700 000 долара
Операторите, стоящи зад ръчно управлявания рансъмуер ProLock, събират и ексфилтрират информация от устройствата на жертвите си, преди да разгърнат полезния си товар.
Откраднатите данни по-късно се използват от престъпниците като лост за убеждаване на жертвите да плащат откупни суми в размер между 175 000 и повече от 660 000 долара в зависимост от размера на компрометираната мрежа.
Досега ProLock успешно криптира мрежите на организации по целия свят от множество индустриални сектори, включително здравеопазване, строителство, финанси и юридически услуги, включително правителствени агенции на САЩ и промишлени предприятия.
Операторите на ProLock са използвали няколко вектора на атака, за да пробият системите на жертвите си, включително фишинг имейли със злонамерени прикачени файлове QakBot, използвайки откраднати идентификационни данни и използвайки недостатъци в конфигурацията на системата.
Престъпниците бяха наблюдавани да архивират откраднатите данни и да ги качват в платформи за съхранение в облак, включително OneDrive, Google Drive и Mega, с помощта на инструмента за команден ред за синхронизиране на облачно съхранение Rclone.
Жертвите се насърчават да не плащат откупите
ФБР насърчава частните индустриални партньори, засегнати от атаките на рансъмуер на ProLock, да не се поддават на исканията на бандитите и да не плащат откупа.
Това би ги насърчило само да се насочат към други жертви и също така ще финансира директно бъдещите им незаконни операции, обяснява ФБР.
Въпреки това, ФБР признава щетите, които компаниите могат да претърпят след подобни атаки, и призовава жертвите да докладват за атаките възможно най-скоро, след като системите им са заразени с рансъмуер ProLock, независимо от решението им да платят за декриптор или не.
Докладването на атаката до местния офис на ФБР за предоставяне на информация, свързана с атаки, като фишинг имейли, бележки за откуп и дневници на мрежовия трафик може да помогне за противодействие на други атаки, както и за идентифициране и принуждаване на нападателите да отговарят за своята дейност .
ФБР препоръчва на американските организации периодично да архивират данните си на място за архивиране извън мрежата / извън сайта и винаги да поддържат софтуера си актуализиран, за да коригират всички новооткрити недостатъци в сигурността, които операторите на ProLock могат да използват.
Препоръчва се също да използват двуфакторно удостоверяване (2FA), когато е възможно, да деактивират неизползваните екземпляри на протокола за отдалечен работен плот (RDP) и да деактивират автоматичното изтегляне на прикачени файлове в имейл клиенти.
По материали от интернет