Computer Security Deuxième avertissement du FBI concernant ProLock...

Deuxième avertissement du FBI concernant ProLock Ransomware émis

Avertissement de rançongiciel FBI Prolock émis Après avoir averti le public de la dangerosité de ProLock en mai 2020, au cours de la première semaine de septembre, le FBI a émis un deuxième avertissement concernant la menace de ransomware. L'avertissement s'adresse principalement aux grandes organisations privées ou gouvernementales. Les opérateurs de ProLock ont toujours poursuivi ces objectifs. Les grandes organisations sont plus susceptibles d'avoir les ressources nécessaires pour payer une énorme rançon et ProLock est connu pour avoir des demandes de rançon atteignant parfois plus de 2 millions de dollars.

L’histoire

ProLock est relativement nouveau sur la scène des ransomwares qui a émergé pour la première fois à la fin de 2019. À cette époque, les cybercriminels utilisaient un nom différent - PwndLocker . Cela a changé en mars 2020 après que des experts en sécurité ont trouvé une faille dans le code de PwndLocker. Le bogue était suffisamment important pour permettre aux experts de proposer un décrypteur gratuit. Cela a incité la création d'une nouvelle version avec un nouveau code et un nouveau nom - ProLock.

Vecteurs d’infection

ProLock est une menace humaine et les cybercriminels exécutant ProLock étaient utilisés pour tirer parti des failles de configuration du système ou des informations d'identification volées pour accéder aux réseaux. À un moment donné vers mai 2020, ProLock a commencé à travailler avec QakBot alias Qbot. QakBot a commencé comme un cheval de Troie bancaire et, comme la plupart des chevaux de Troie bancaires, est devenu un puissant système de distribution de logiciels malveillants. Le partenariat avec QakBot a été un grand pas en avant pour les cybercriminels ProLock, car QakBot a considérablement augmenté le nombre de réseaux infectés.

Ransomware à commande humaine

Dans un souci de précision, les opérateurs de ProLock ont probablement accès à une seule machine infectée, puis se déplacent latéralement dans le réseau sur lequel se trouve la machine. Il s'agit de la tactique habituelle pour les menaces opérées par l'homme, car elle permet aux cybercriminels de trouver les informations les plus sensibles et de planifier leur attaque afin qu'elle fasse le plus de dégâts possible.

Bien qu'il soit extrêmement peu probable que les individus rencontrent ProLock, les spécialistes de la sécurité des organisations de tous types doivent être à l'affût de cette menace. Après la mise à niveau et le changement de nom, le cryptage de ProLock ne peut pas être annulé sans l'aide de ses opérateurs. Pire encore, les attaques ProLock sont souvent accompagnées d'exfiltrations de données qui peuvent être dévastatrices pour les organisations. En plus de cela, le décrypteur de ProLock a toujours été peu fiable. Le décryptage de fichiers volumineux a échoué à de nombreuses reprises. Du côté positif, si une organisation est préparée et a déployé des défenses suffisantes contre les ransomwares et autres menaces, ProLock ne dispose d'aucun moyen inhabituel ou inattendu de compromettre son réseau.

Chargement...