据报道,这是该部门针对ProLock勒索软件的威胁发布的第二次警报。
让我们先看一下今年年初的一则关于新勒索软件 ProLock的新闻:
新勒索软件 ProLock 使用木马攻击政府和公司,赎金高达 35 BTC?
据5月17日发布的一份报告,网络安全公司 Group-IB 警告说该勒索软件采用了木马攻击。
根据 Group-IB 的研究,该勒索软件被称为 ProLock,它依靠 Qakbot banking木马发起攻击,并要求目标客户以 BTC 支付的六位数(十万级别)美元勒索赎金,来解密文件。
受害者名单包括:地方政府、金融、医疗保健和零售组织。其中,Group-IB 认为最值得注意的攻击对象是:ATM 供应商 Diebold Nixdorf 。
ProLock 赎金额为 35 BTC ?
FBI 详细介绍说,ProLock 攻击最初是通过:通常发送 Microsoft Word 文档的网络钓鱼电子邮件,来访问受害者网络。然后,Qakbot会干扰配置远程桌面协议,并窃取具有单因素身份验证的系统登录凭据。
勒索软件攻击要求支付 35 BTC 的赎金,其价值为 337,750 美元。不过,Bleeping Computer 的一项研究表明,ProLock每次攻击平均要求175,000到660,000美元的赎金,具体取决于目标网络的规模。
恶意软件实验室 Emsisoft 分析师 Brett Callow 与 Cointelegraph 进行了交谈,解释了一些细节信息:
| ProLock不常见,因为它是用Powershell和shellcode 编写部署的。恶意代码存储在XML、视频或图像文件中。值得注意的是,犯罪分子提供的ProLock解密器无法正常工作,并且在解密过程中损坏了数据。 |
卡洛补充说,尽管Emsisoft开发了一个解密器来恢复受 ProLock 影响的受害者数据,但是这种软件并不能避免支付赎金,因为它仍然依赖于犯罪分子提供的密钥。
勒索软件组织 Maze 于 5月19日 声称对美国鸡蛋生产商 Sparboe 进行了攻击,并在网站上初步泄漏了信息以证明他们实施了有效的攻击。
与此同时, REvil 的勒索软件团伙最近扬言要泄露 LadyGaga,Elton John,Robert DeNiro,Madonna 等明星的近 1TB 的法律秘密。
让我们看看这一次的攻击有什么不同:联邦调查局(FBI)发布了第二次警报,要求私人和政府实体使用不同的ProLock勒索软件。这些狡诈的黑客不仅为勒索加密文件,还窃取敏感信息和关键数据。
这种改版和增强的勒索软件针对的是私营企业、政府和金融机构、医疗保健机构的系统以及其他各种基于组织规模和结构的实体。勒索软件侵入受害者的系统,然后定位文件并加密它们。为了检索数据,受害者必须用加密货币支付赎金。
因为被感染文件的扩展名变为 .ProLock,这款恶意勒索软件获得了它的名字:ProLock。一旦黑了受害者的系统,黑客就会在受感染的文件夹中放置一张赎金条,以比特币的形式敲诈钱财。
这张纸币还包含指引他们进入Tor网站的指令,该网站上有比特币钱包的信息。一旦受害者向指定账户转账加密货币,就会给出一个解密密钥。
美国联邦调查局警告私营企业要小心勒索软件,同时解密器也不能如预期的那样解密,最终结果是会导致数据丢失。此外,就拿64MB大小的文件解密举例,即使这么小的文件被解密时也会大量耗用电脑进程,使得电脑哔哔作响。
值得注意的是,ProLock的运营商自全球大流行(2020年3月)爆发以来,已经成功勒索了多个行业和企业实体,包括政府机构。从政府和私人实体企业窃取数据,直到他们支付平均高达66万美元的赎金。
传播方式
据研究人员称,这种具有高级增强功能的恶意软件通过远程桌面协议服务器或臭名昭著的电子邮件钓鱼活动传播。后者将导致QakBot恶意附件的出现,这个恶意附件会窃取凭证,进而借由这个缺陷,间接操纵系统。
研究人员还发现这招对受害者帮助匪浅:一些运营商会将窃取的数据归档,在Rclone的命令行工具的帮助下将其上传到云存储的数据进行进行恢复。
尽管如此,联邦调查局还是建议受害者不要支付赎金,并尽快报告这起事件。支付赎金就是为他们的非法勒索扩大队伍。因此,建议有这种棘手情况的受害者尽快向网络安全官方部门汇报,提供尽可能多的有关活动的信息、细节。
因此,定期云数据备份很重要,尽可能启用双因素身份验证。
