Le rançongiciel ProLock s’associe au trojan QakBot

Un rançongiciel relativement nouveau, ProLock, s’est associé au cheval de Troie bancaire QakBot pour accéder aux réseaux des victimes. L’optimisation de QakBot par ProLock lui donne des techniques renforcées de persistance, d’anti-détection et de déversement d’informations d’identification.

Le rançongiciel ProLock est apparu pour la première fois en Mars en tant que successeur d’une autre souche de malware récente, PwndLocker, et a fait sa marque en ciblant les organisations financières, médicales, gouvernementales et de commerce de détail. La première grande attaque de ProLock a ciblé fin avril le principal fournisseur de Diebold Nixdorf.

«ProLock utilise de nombreuses techniques similaires à celles des autres opérateurs de ransomware pour atteindre leurs objectifs», a déclaré Oleg Skulkin, analyste principal en criminalistique numérique au Groupe-IB dans une analyse récente. «Dans le même temps, cependant, le groupe a sa propre approche unique. Avec de plus en plus de groupes de cybercriminalité manifestant de l’intérêt pour les campagnes de déploiement de ransomwares d’entreprise, certains opérateurs peuvent être impliqués dans le déploiement de différentes familles de ransomwares, nous verrons donc probablement plus de chevauchements dans les tactiques, les techniques et les procédures. »

prolock

ProLock utilise des serveurs RDP (Remote Desktop Protocol) non protégés avec des informations d’identification faibles pour infecter certaines victimes, une technique assez courante pour les opérateurs de ransomware (y compris Nefilim, Nemty, Crysis et SamSam). Cependant, les chercheurs ont déclaré que le vecteur d’infection «le plus intéressant» était QakBot.

QakBot

QakBot est un cheval de Troie, affilié au ransomware MegaCortex et connu pour être chargé via le malware Emotet dans les campagnes précédentes. QakBot est généralement distribué via des e-mails d’hameçonnage avec des pièces jointes de documents Microsoft Office (ou des liens vers des documents malveillants qui se trouvent sur le stockage cloud). Une victime doit d’abord télécharger le document via e-mail, puis activer les macros. Ensuite, PowerShell est lancé et utilisé pour télécharger et exécuter le payload QakBot à partir du serveur de commande et de contrôle (C2).

L’utilisation de QakBot par ProLock s’inscrit dans une tendance de cybercriminalité existante. De plus en plus de souches de logiciels malveillants ont formé des partenariats pour les aider à combler les lacunes de leurs compétences respectives. Par exemple, les opérateurs derrière TrickBot et IcedID ont commencé une collaboration en 2018, tandis que Ryuk a utilisé TrickBot et Emotet dans sa chaîne d’attaque.

prolock

QakBot apporte une multitude de nouvelles capacités qui élèvent le vecteur d’attaque du ransomware ProLock: il a non seulement des capacités d’enregistrement des touches, mais est également capable d’exécuter des scripts supplémentaires comme Invoke-Mimikatz (une version PowerShell de Mimikatz) – permettant à l’attaquant d’utiliser le dumping d’informations d’identification en tirant plusieurs mots de passe de la machine. À l’aide de cette technique, les opérateurs de ProLock peuvent détecter des informations d’identification privilégiées, puis les utiliser pour démarrer des activités de découverte de réseau, telles que l’analyse de port et la reconnaissance Active Directory.

“En plus d’une grande variété de scripts, les pirates utilisent AdFind – un autre outil populaire utilisé par de nombreux groupes de ransomwares – pour interroger Active Directory”, ont déclaré les chercheurs.

ProLock utilise ensuite RDP pour se déplacer latéralement sur les réseaux et collecter des données, qu’il exfiltre ensuite à l’aide d’un outil de ligne de commande (Rclone) capable de synchroniser des fichiers vers et depuis différents fournisseurs de stockage cloud, tels que OneDrive et Google Drive. Dans le même temps, le ransomware chiffre les fichiers (en ajoutant une extension .proLock, .pr0Lock ou .proL0ck à chaque fichier chiffré) et laisse une note pour le vitim leur demandant d’effectuer un paiement afin de déverrouiller leurs fichiers (l’échantillon que les chercheurs ont analysé demande un paiement de 35 Bitcoins, soit 312 000 $). Selon BleepingComputer, les opérateurs de ransomware exigent généralement des paiements de rançon à six chiffres en échange du déverrouillage des données.

Autres fonctionnalités de ProLock

L’utilisation de RDP et QakBot pour l’infection initiale donne aux opérateurs de ProLock un avantage en termes de persistance et d’évasion de détection. Par exemple, les opérateurs utilisent des comptes valides pour l’accès RDP pour gagner en persistance dans le réseau. Le payload ProLock est également cachée dans un fichier image bitmap (BMP) ou un fichier JPG, qui, selon les chercheurs, peut également être considéré comme une technique d’évasion.

Et, “QBot a une astuce qui lui permet d’éviter la détection: il vérifie la dernière version de lui-même et remplace la version actuelle par la nouvelle”, ont déclaré les chercheurs. «Les fichiers exécutables sont signés avec une signature volée ou fausse. Le payload initial, téléchargé par PowerShell, est stocké sur le serveur avec une extension PNG. De plus, il est remplacé par le fichier légitime calc.exe après exécution. “

Alors que de nombreuses familles de ransomwares (comme Maze et Sodoniki) se tournent vers une technique appelée «double extorsion», où elles menacent de publier les données volées en plus de demander une rançon pour déverrouiller les données, ProLock ne semble pas utiliser ce genre de tactique.

“Contrairement aux autres, cependant, les opérateurs de ProLock n’ont toujours pas de site Web où ils publient des données exfiltrées d’entreprises qui refusent de payer la rançon”, ont déclaré des chercheurs.

Si cet article vous a plu, jetez un œil à notre article précédent.