Вымогательское ПО ProLock идет «рука об руку» с трояном Qakbot

Вымогательское ПО ProLock идет «рука об руку» с трояном Qakbot

Alexander Antipov

Не исключено, что операторы Qakbot сдают авторам ProLock в аренду доступ к взломанной ими корпоративной сети.

image

Ранее в этом месяце ФБР США опубликовало предупреждение о новом образце вымогательского ПО ProLock, использовавшемся в атаках на правительственные и финансовые организации, здравоохранительные учреждения и торговые предприятия. На прошлой неделе жертвой ProLock стал крупнейший в США и один из крупнейших в мире поставщиков банкоматов и технологий для осуществления платежей Diebold Nixdorf.

Обнаруженный в марте 2020 года ProLock является так называемым «управляемым человеком вымогательским ПО». К данному типу относятся вредоносные программы, устанавливаемые киберпреступниками в корпоративных сетях вручную после первоначальной компрометации. Как сообщили в ФБР, в случае с ProLock вымогатель попадает в сети с помощью трояна Qakbot (Qbot). Специалисты Group-IB подтвердили этот факт.

Сотрудничество между разными киберпреступными группировками – явление нередкое. К примеру, вымогательское ПО Ryuk и Maze заражало системы жертв через TrickBot, а ПО DopplePaymer попадало на компьютеры, изначально инфицированные Dridex. На момент написания новости оставалось неясным, являются ли авторы ProLock также создателями Qakbot. Не исключено, что операторы Qakbot сдают авторам ProLock в аренду доступ к взломанной ими корпоративной сети в рамках бизнес-модели Crimeware-as-a-Service.

Согласно предупреждению ФБР, инструмент для восстановления зашифрованных файлов, предоставляемый вымогателями в обмен на денежное вознаграждение, не работает должным образом. Декриптор повреждает файлы, размер которых превышает 64 МБ, поэтому жертвам ProLock крайне не рекомендуется платить выкуп.

Подписывайтесь на каналы «SecurityLab» в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Источник: Securitylab