0
0
O FBI emitiu um segundo aviso esta semana para alertar as empresas dos EUA de operadores de ransomware ProLock que roubam dados de redes comprometidas antes de criptografar os sistemas de suas vítimas.
A Notificação da Indústria Privada 202001-001 vista pela BleepingComputer em 1º de setembro vem após o Alerta Flash MI-000125-MW sobre o mesmo assunto emitido pelo FBI há quatro meses, em 4 de maio de 2020.
A Notificação da Indústria Privada 202001-001 vista pela BleepingComputer em 1º de setembro vem após o Alerta Flash MI-000125-MW sobre o mesmo assunto emitido pelo FBI há quatro meses, em 4 de maio de 2020.
O alerta anterior do FBI também alertou os parceiros do setor privado de que o descriptografador do ProLock não está funcionando corretamente e que os dados serão perdidos, uma vez que arquivos acima de 64MB podem ser corrompidos como parte do processo de descriptografia.
O ransomware ProLock começou como PwndLocker durante o final de 2019, lentamente fazendo uma reputação para si mesmo enquanto mirava tanto as empresas dos EUA quanto os governos locais.
A PwndLocker renomeou-se como ProLocker em março, depois de corrigir um bug que permitia a descriptografia gratuita de arquivos bloqueados, e sua atividade começou a aumentar à medida que começou a direcionar redes corporativas novamente.
O aumento da atividade foi provavelmente causado pela parceria com a gangue de trojans bancários QakBot, o que tornou muito mais fácil obter acesso às redes de novas vítimas.
Resgates prolock podem chegar a quase US $ 700.000
Os operadores por trás do ransomware ProLock operado por humanos vêm coletando e exfiltrando informações dos dispositivos de suas vítimas antes de implantar suas cargas desde março de 2020, de acordo com o FBI.
Os dados roubados são mais tarde usados pelos atores de ameaça como alavanca para persuadir as organizações vítimas a pagar resgates que variam entre US$ 175.000 e mais de US$ 660.000, dependendo do tamanho da rede comprometida como o BleepingComputer encontrou.
Até agora, a ProLock criptografou com sucesso as redes de organizações em todo o mundo de vários setores da indústria, incluindo saúde, construção, finanças e legais, incluindo agências governamentais dos EUA e entidades industriais.
Os operadores do ProLock usaram vários vetores de ataque para violar os sistemas de suas vítimas, incluindo e-mails de phishing com anexos maliciosos qakBot, usando credenciais roubadas e explorando falhas de configuração do sistema.
Os atores de ameaças foram observados arquivando os dados roubados e carregando para plataformas de armazenamento em nuvem, incluindo OneDrive, Google Drive e Mega, com a ajuda da ferramenta de linha de comando de sincronização de armazenamento em nuvem Rclone.
As vítimas encorajavam a não pagar os resgates.
O FBI incentiva parceiros privados da indústria afetados pelos ataques de ransomware ProLock a não cederem às exigências dos atores de ameaças e pagarem os resgates.
Isso só os encorajaria a atingir outras vítimas e também financiaria diretamente suas futuras operações ilícitas, como o FBI explicou.
No entanto, o FBI reconhece os danos que as empresas podem enfrentar após esses ataques e insta as vítimas a relatar os ataques o mais rápido possível depois de ter seus sistemas infectados com ransomware ProLock, independentemente de sua decisão de pagar por um descriptografador ou não.https://e0806a22d3b1ed084bdd685ecbef7dff.safeframe.googlesyndication.com/safeframe/1-0-37/html/container.html?n=0
Relatar o ataque ao escritório de campo local do FBI para fornecer informações relacionadas a ataques, como e-mails de phishing, amostras de ransomware recuperadas, notas de resgate e registros de tráfego de rede, pode ajudar a combater outros ataques, bem como identificar e responsabilizar os atacantes por suas atividades.
O FBI recomenda que as organizações dos EUA façaem backup periódico de seus dados em um local de backup off-line/off-site e mantenham sempre seu software atualizado para corrigir quaisquer falhas de segurança recém-descobertas que os operadores do ProLock possam explorar.
Eles também são recomendados para fazer uso de autenticação de dois fatores (2FA) sempre que possível, desativar instâncias rdp (Remote Desktop Protocol, protocolo de desktop remoto) não utilizado e desativar downloads automáticos de anexos em clientes de e-mail.
FONTE: BLEEPING COMPUTER