FBI警告:ProLock勒索軟件再次升級,又來搞事?
據報道,這是該部門針對ProLock勒索軟件的威脅發布的第二次警報。
讓我們先看一下今年年初的一則關于新勒索軟件 ProLock的新聞:
新勒索軟件 ProLock 使用木馬攻擊政府和公司,贖金高達 35 BTC?
據5月17日發布的一份報告,網絡安全公司 Group-IB 警告說該勒索軟件采用了木馬攻擊。
根據 Group-IB 的研究,該勒索軟件被稱為 ProLock,它依靠 Qakbot banking木馬發起攻擊,并要求目標客戶以 BTC 支付的六位數(十萬級別)美元勒索贖金,來解密文件。
受害者名單包括:地方政府、金融、醫療保健和零售組織。其中,Group-IB 認為最值得注意的攻擊對象是:ATM 供應商 Diebold Nixdorf 。
ProLock 贖金額為 35 BTC ?
FBI 詳細介紹說,ProLock 攻擊最初是通過:通常發送 Microsoft Word 文檔的網絡釣魚電子郵件,來訪問受害者網絡。然后,Qakbot會干擾配置遠程桌面協議,并竊取具有單因素身份驗證的系統登錄憑據。
勒索軟件攻擊要求支付 35 BTC 的贖金,其價值為 337,750 美元。不過,Bleeping Computer 的一項研究表明,ProLock每次攻擊平均要求175,000到660,000美元的贖金,具體取決于目標網絡的規模。
惡意軟件實驗室 Emsisoft 分析師 Brett Callow 與 Cointelegraph 進行了交談,解釋了一些細節信息:
| ProLock不常見,因為它是用Powershell和shellcode 編寫部署的。惡意代碼存儲在XML、視頻或圖像文件中。值得注意的是,犯罪分子提供的ProLock解密器無法正常工作,并且在解密過程中損壞了數據。 |
卡洛補充說,盡管Emsisoft開發了一個解密器來恢復受 ProLock 影響的受害者數據,但是這種軟件并不能避免支付贖金,因為它仍然依賴于犯罪分子提供的密鑰。
勒索軟件組織 Maze 于 5月19日 聲稱對美國雞蛋生產商 Sparboe 進行了攻擊,并在網站上初步泄漏了信息以證明他們實施了有效的攻擊。
與此同時, REvil 的勒索軟件團伙最近揚言要泄露 LadyGaga,Elton John,Robert DeNiro,Madonna 等明星的近 1TB 的法律秘密。
讓我們看看這一次的攻擊有什么不同:聯邦調查局(FBI)發布了第二次警報,要求私人和政府實體使用不同的ProLock勒索軟件。這些狡詐的黑客不僅為勒索加密文件,還竊取敏感信息和關鍵數據。
這種改版和增強的勒索軟件針對的是私營企業、政府和金融機構、醫療保健機構的系統以及其他各種基于組織規模和結構的實體。勒索軟件侵入受害者的系統,然后定位文件并加密它們。為了檢索數據,受害者必須用加密貨幣支付贖金。
因為被感染文件的擴展名變為 .ProLock,這款惡意勒索軟件獲得了它的名字:ProLock。一旦黑了受害者的系統,黑客就會在受感染的文件夾中放置一張贖金條,以比特幣的形式敲詐錢財。
這張紙幣還包含指引他們進入Tor網站的指令,該網站上有比特幣錢包的信息。一旦受害者向指定賬戶轉賬加密貨幣,就會給出一個解密密鑰。
美國聯邦調查局警告私營企業要小心勒索軟件,同時解密器也不能如預期的那樣解密,最終結果是會導致數據丟失。此外,就拿64MB大小的文件解密舉例,即使這么小的文件被解密時也會大量耗用電腦進程,使得電腦嗶嗶作響。
值得注意的是,ProLock的運營商自全球大流行(2020年3月)爆發以來,已經成功勒索了多個行業和企業實體,包括政府機構。從政府和私人實體企業竊取數據,直到他們支付平均高達66萬美元的贖金。
傳播方式
據研究人員稱,這種具有高級增強功能的惡意軟件通過遠程桌面協議服務器或臭名昭著的電子郵件釣魚活動傳播。后者將導致QakBot惡意附件的出現,這個惡意附件會竊取憑證,進而借由這個缺陷,間接操縱系統。
研究人員還發現這招對受害者幫助匪淺:一些運營商會將竊取的數據歸檔,在Rclone的命令行工具的幫助下將其上傳到云存儲的數據進行進行恢復。
盡管如此,聯邦調查局還是建議受害者不要支付贖金,并盡快報告這起事件。支付贖金就是為他們的非法勒索擴大隊伍。因此,建議有這種棘手情況的受害者盡快向網絡安全官方部門匯報,提供盡可能多的有關活動的信息、細節。
因此,定期云數據備份很重要,盡可能啟用雙因素身份驗證。
