当前位置: 首页 > 科技观察

FBI警告:ProLock勒索软件再次升级,又来捣乱?

时间:2023-03-12 12:09:49 科技观察

据报道,这是该部门就ProLock勒索软件威胁发布的第二条警报。我们来看看今年年初关于新型勒索软件ProLock的新闻:新型勒索软件ProLock利用木马攻击政府和企业,勒索金额高达35BTC?根据5月17日发布的一份报告,网络安全公司Group-IB警告说,该勒索软件采用了特洛伊木马攻击。根据Group-IB的研究,这款名为ProLock的勒索软件依赖Qakbot银行木马发起攻击,并向目标客户索要六位数(十万级)BTC赎金以解密文件。受害者名单包括:地方政府、金融、医疗保健和零售组织。其中,Group-IB认为最引人注目的目标是:ATM提供商DieboldNixdorf。ProLock赎金金额是35BTC?FBI详细说明,ProLock攻击最初是通过发送网络钓鱼电子邮件(通常是MicrosoftWord文档)开始的,以获取对受害者网络的访问权限。然后,Qakbot会干扰远程桌面协议的配置,并通过单因素身份验证窃取系统登录凭据。勒索软件攻击要求赎金35BTC,价值337,750美元。然而,BleepingComputer的一项研究表明,ProLock每次攻击要求的平均赎金为175,000美元至660,000美元,具体取决于目标网络的规模。MalwareLabsEmsisoft分析师BrettCallow与Cointelegraph进行了交谈,解释了一些细节:ProLock并不常见,因为它是在Powershell和shellcode中编写和部署的。恶意代码存储在XML、视频或图像文件中。值得注意的是,犯罪分子提供的ProLock解密器无法正常工作,并在解密过程中损坏数据。Callow补充说,虽然Emsisoft开发了一个解密器来恢复受ProLock影响的受害者的数据,但该软件并没有避免支付赎金,因为它仍然依赖于犯罪分子提供的密钥。勒索软件组织Maze声称于5月19日对美国鸡蛋生产商Sparboe进行了攻击,并最初在网站上泄露信息以证明他们进行了有效的攻击。与此同时,REvil的勒索软件团伙最近威胁要泄露LadyGaga、埃尔顿约翰、罗伯特德尼罗、麦当娜等明星近1TB的合法机密。让我们看看这次攻击有何不同:FBI发出了第二次警报,要求私人和政府实体使用不同版本的ProLock勒索软件。这些狡猾的黑客不仅会加密文件以索取赎金,还会窃取敏感信息和关键数据。这种经过修改和增强的勒索软件针对私营企业、政府和金融机构、医疗机构以及基于组织规模和结构的各种其他实体的系统。勒索软件渗入受害者的系统,然后定位文件并对其进行加密。为了检索数据,受害者必须以加密货币支付赎金。这个恶意勒索软件得名:ProLock,因为受感染文件的扩展名更改为.ProLock。一旦受害者的系统受到威胁,黑客就会在受感染的文件夹中放置赎金票据,以比特币的形式勒索金钱。该便条还包含将他们引导至Tor网站的说明,该网站包含有关比特币钱包的信息。一旦受害者将加密货币转移到指定账户,就会得到一个解密密钥。FBI已警告私营公司提防勒索软件,解密器无法按预期工作,最终结果是数据丢失。另外,以解密一个64MB的文件为例,即便是这么小的文件,在解密时也会消耗大量的计算机处理能力,搞得计算机嗡嗡作响。值得注意的是,自全球大流行病爆发以来(2020年3月),ProLock的运营商已成功勒索多个行业和企业实体,包括政府机构。从政府和私人实体窃取数据,直到他们支付平均高达660,000美元的赎金。据研究人员称,这种具有高级增强功能的恶意软件通过远程桌面协议服务器或臭名昭著的电子邮件网络钓鱼活动传播。后者会导致恶意QakBot附件的出现,该附件会窃取凭据,然后利用此漏洞间接操纵系统。研究人员还发现这个技巧对受害者非常有帮助:一些操作者在Rclone的命令行工具的帮助下将被盗数据存档并恢复上传到云存储的数据。尽管如此,联邦调查局还是建议受害者不要支付赎金,并尽快报告这一事件。支付赎金是为了扩大他们的非法勒索队伍。因此,建议此类棘手情况的受害者尽快向网络安全部门报告,提供尽可能多的信息和有关活动的详细信息。因此,定期的云数据备份很重要,并尽可能启用双因素身份验证。