Вымогатель ProLock подружился с трояном Qakbot

Опубликовано at 18:16
93 0

Group-IB подтвердили выводы ФБР, что операторы Qakbot, скорее всего, сдают авторам ProLock в аренду доступ к взломанной ими корпоративной сети.

Ранее в мае ФБР США опубликовало предупреждение о новом образце вымогательского ПО ProLock, использовавшемся в атаках на правительственные и финансовые организации, здравоохранительные учреждения и торговые предприятия. Жертвой ProLock уже стал крупнейший в США и один из крупнейших в мире поставщиков банкоматов и технологий для осуществления платежей Diebold Nixdorf.

Обнаруженный в марте 2020 года ProLock является так называемым «управляемым человеком вымогательским ПО». К данному типу относятся вредоносные программы, устанавливаемые киберпреступниками в корпоративных сетях вручную после первоначальной компрометации.

А попадает в систему ProLock именно с помощью трояна Qakbot (Qbot).

Подобные симбиозы случались и раньше: так, вымогательское ПО Ryuk и Maze заражало системы жертв через TrickBot, а ПО DopplePaymer попадало на компьютеры, изначально инфицированные Dridex. Мы также рассказывали про совместные атаки двух известных банковских троянов IcedID и TrickBot. Эволюция в действии: ведь не так давно троян SpyEye деинсталлировал своего коллегу грозного ZeuS, если находил его на машине, чтоб не делить территорию. Теперь же хозяева вредоносов выручку делят совместно.

Кстати, не вздумайте если что платить выкуп ProLock: инструмент для восстановления зашифрованных файлов, предоставляемый вымогателями в обмен на денежное вознаграждение, не работает должным образом. Декриптор необратимо повреждает файлы, размер которых превышает 64 МБ, так что лучше использовать другие методы, обратившись к профессионалам.

Читайте также на АКБ:

FIN6 и TrickBot теперь проводят кибератаки вместе

Подписываемся, следим @CyberAgency

Related Post