ProLock Ransomware se une con el troyano QakBot para infectar las redes

ProLock, una nueva variante de ransomware detectada a principios de marzo de 2020, ha entrado en el juego en los últimos meses y se ha infiltrado en tantos sistemas que el FBI y variadas firmas de seguridad han emitido advertencias severas a medida que continúa propagándose.

ProLock es una versión renombrada del ransomware PwndLocker. Cifra los archivos con el algoritmo RSA-2048, modifica sus nombres de archivo y crea una nota de rescate. ProLock agrega la extensión ".proLock", “.pr0Lock” o “.proL0ck” y deja una nota exigiendo un rescate por sus datos.

La firma de seguridad con sede en Singapur Group-IB informó que ProLock ha tenido un gran impacto ya que se dirige a organizaciones financieras, gubernamentales, de atención médica y minoristas.

Modus operandi

Los actores de ProLock obtienen acceso inicial a las redes utilizando como vectores principales:

• Correos electrónicos de phishing
• Troyano QakBot
• Explotación del Protocolo de escritorio remoto (RDP)
• Utilización de credenciales de inicio de sesión robadas

Groub-IB descubrió en su investigación que: “Una vez que se obtienen las credenciales privilegiadas, los operadores ProLock comienzan las actividades de descubrimiento de red. Incluyen, entre otros, escaneo de puertos y reconocimiento de Active Directory".

QakBot troyano

QakBot es un sofisticado ladrón que se distribuye por documentos descargados del correo electrónico no deseado. Utiliza diferentes técnicas para evadir la detección y complicar el análisis, brindando técnicas de persistencia reforzada, anti-detección y eliminación de credenciales.

Antes de ejecutar el código principal, el malware comprueba la presencia de software antivirus. También verifica los entornos virtuales y otras herramientas de monitoreo al verificar los procesos en ejecución en la computadora de la víctima.

QakBot no es nuevo, sabemos que ha estado activo durante al menos 13 años. Pero está en constante evolución y utiliza diferentes mecanismos y métodos para infectar máquinas y evadir la detección.

ProLock Ransomware

ProLock es inusual porque está escrito en assembly y desplegado usando Powershell y shellcode. La carga útil de ProLock también está oculta dentro de un archivo de imagen de mapa de bits (BMP) o un archivo JPG, que según los investigadores también puede considerarse una técnica de evasión de defensa.

Advertencia del FBI

El FBI emitió un aviso que señala: "Después de que los actores de ProLock obtienen acceso a la red de la víctima, mapean la red e identifican las copias de seguridad, para incluir copias instantáneas de volumen, para su eliminación y / o cifrado".

También explica que la clave de descifrado o "descifrador" proporcionada por los atacantes al pagar el rescate, habitualmente no se ha ejecutado correctamente. El descifrador podría corromper archivos de más de 64 MB y puede provocar una pérdida de integridad de archivo de aproximadamente 1 byte por 1 KB de más de 100 MB.

Al igual que los operadores de Sodinokibi (REvil) y Maze, los actores de Prolock también efectúan exfiltración de la información de sus víctimas antes del cifrado, para extorsionar a los que se reusen al pago, chantajeando a las compañías con la divulgación de sus datos en fuentes públicas. Sin embargo, a diferencia de sus pares, los operadores de ProLock todavía no tienen un sitio web donde publicar datos extraídos de compañías que se niegan a pagar el rescate.

Panorama

ProLock utiliza muchas técnicas similares a las de otros operadores de ransomware para lograr sus objetivos. Sin embargo, el grupo tiene su propio enfoque, atacar entes empresariales y gubernamentales, exfiltando su información para extorsionar a sus víctimas y facilitar el pago. Para ello utilizan phishing y explotan el puerto RDP.

Estos últimos meses ha destacado el crecimiento vertiginoso en la aparición de nuevas variantes de ransomware, demostrando supremacía en su evolución, por lo que probablemente al corto plazo, veremos más superposiciones en tácticas, técnicas y procedimientos en este tipo de ataques.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reduce las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.