Un estudio de Group-IB revela el modus operandi del recién descubierto ataque de ransomware de ProLock. Lo hacen a través de un troyano bancario.
Antilavadodedinero / Cointelegraph.com
En los últimos meses ha surgido un nuevo tipo de ataque con ransomware, que ha dado lugar a señales de alarma entre la comunidad de seguridad cibernética y autoridades como el FBI en los Estados Unidos. La empresa de seguridad cibernética, Group-IB, ha advertido que viene en forma de un troyano bancario , según un informe publicado el 17 de mayo.
Según el estudio del Grupo IIB, el ransomware se conoce como ProLock y se basa en el troyano bancario Qakbot para lanzar el ataque y pide a los objetivos un rescate de seis cifras en dólares pagado en BTC para descifrar los archivos.
La lista de víctimas incluye gobiernos locales, organizaciones financieras, sanitarias y minoristas. Entre ellas, el ataque que el Grupo IIB considera el más notable fue contra el proveedor de cajeros automáticos Diebold Nixdorf.
35 BTC como pago total en un ataque ProLock
El FBI detalló que el ataque ProLock inicialmente obtiene acceso a las redes de las víctimas a través de correos electrónicos de phishing que a menudo entregan documentos de Microsoft Word. Qakbot entonces interfiere con la configuración de un protocolo de escritorio remoto y roba las credenciales de acceso a los sistemas con autenticación de un solo factor.
Según el Grupo IB, los ataques de ransomware piden un pago total de 35 BTC, por valor de 337,750 dólares al momento de la publicación. Sin embargo, un estudio de Bleeping Computer muestra que ProLock exige un promedio de 175,000 a 660,000 dólares por ataque, dependiendo del tamaño de la red objetivo.
Hablando con Cointelegraph, Brett Callow, analista de amenazas en el laboratorio de malware, Emsisoft, explicó algunos detalles sobre esta nueva ciberamenaza:
“ProLock es inusual en el sentido de que está escrito en ensamblaje y desplegado usando Powershell y shellcode. El código malicioso se almacena en archivos XML, de vídeo o de imágenes. En particular, el desencriptador ProLock suministrado por los criminales no funciona correctamente y corrompe los datos durante el proceso de desencriptación”.
Callow añadió que aunque Emsisoft desarrolló un desencriptador para recuperar los datos de las víctimas afectadas por ProLock sin pérdida, ese software no elimina la necesidad de pagar el rescate, ya que depende de la llave suministrada por los delincuentes.
ProLock no filtra los datos robados
Aunque las técnicas utilizadas por los operadores de ProLock son similares a las de los grupos de ransomware conocidos que filtran los datos robados como Sodinokibi y Maze, el Grupo-IB aclaró lo siguiente:
“A diferencia de sus pares, sin embargo, los operadores de ProLock aún no tienen un sitio web donde publicar los datos extraídos de las empresas que se niegan a pagar el rescate.”
Últimos ataques con ransomware
Cointelegraph ha informado de varios ataques con ransomware en las últimas semanas.
El grupo de ransomware Maze afirmó el 19 de mayo haber hackeado al productor de huevos, Sparboe, de los Estados Unidos, filtrando información preliminar en un sitio web para probar que ellos cometieron el ataque.
Una banda de ransomware llamada REvil recientemente amenazó con liberar casi 1TB de secretos legales privados de las mayores estrellas de música y cine del mundo, como Lady Gaga, Elton John, Robert DeNiro, Madonna, entre otros.
