Um novo tipo de ataque de ransomware surgiu nos últimos meses, levantando bandeiras vermelhas entre a comunidade de segurança cibernética e autoridades como o FBI nos Estados Unidos. A empresa de segurança cibernética Group-IB alertou que se trata de um Trojan, de acordo com um relatório publicado em 17 de maio.

De acordo com o estudo do Group-IB, o ransomware é conhecido como ProLock e conta com o trojan bancário Qakbot para lançar o ataque e pede aos alvos por resgate de seis dígitos em dólares pagos em BTC para descriptografar os arquivos.

A lista de vítimas inclui governos locais, organizações financeiras, de saúde e de varejo. Entre eles, o ataque que o Grupo-IB considera mais notável foi contra o fornecedor de caixas eletrônicos Diebold Nixdorf.

35 BTC como pagamento no ataque ProLock

O FBI detalhou que o ataque ProLock inicialmente tem acesso às redes de vítimas através de e-mails de phishing que geralmente entregam documentos do Microsoft Word. O Qakbot interfere na configuração de um protocolo de área de trabalho remota e rouba credenciais de login para sistemas com autenticação de fator único.

De acordo com o Group-IB, os ataques de ransomware exigem um pagamento total de 35 BTC - no valor de US $ 337.750 no momento da publicação. No entanto, um estudo da Bleeping Computer mostra que o ProLock exige uma média de US $ 175.000 a US $ 660.000 por ataque, dependendo do tamanho da rede de destino.

Falando com a Cointelegraph, Brett Callow, analista de ameaças do laboratório de malware Emsisoft, explicou alguns detalhes sobre essa nova ameaça cibernética:

“O ProLock é incomum, pois é escrito em montagem e implantado usando o Powershell e o shellcode. O código malicioso é armazenado em arquivos XML, de vídeo ou de imagem. Notavelmente, o decodificador ProLock fornecido pelos criminosos não funciona corretamente e corrompe os dados durante o processo de decodificação. ”

Callow acrescentou que, embora a Emsisoft tenha desenvolvido um decodificador para recuperar os dados das vítimas afetadas pelo ProLock sem perdas, esse software não elimina a necessidade de pagamento do resgate, pois depende da chave fornecida pelos criminosos.

ProLock não vaza dados

Embora as técnicas usadas pelos operadores do ProLock sejam semelhantes às dos grupos de ransomware conhecidos que filtram dados roubados como Sodinokibi e Maze, o Group-IB esclareceu o seguinte:

"Ao contrário de seus pares, os operadores do ProLock ainda não têm um site onde publicam dados exfiltrados de empresas que se recusam a pagar o resgate".

Últimos ataques de ransomware

O Cointelegraph relatou vários ataques de ransomware nas últimas semanas.

O grupo Ransomware Maze reinvidicou em 19 de maio ter hackeado a produtora de ovos dos Estados Unidos Sparboe, vazando informações preliminares em um site para provar que eles cometeram o ataque.

Uma gangue de ransomware chamada REvil ameaçou recentemente divulgar quase 1 TB de segredos legais privados das maiores estrelas do mundo da música e do cinema, como Lady Gaga, Elton John, Robert DeNiro, Madonna, entre outros.

LEIA MAIS