Не исключено, что операторы Qakbot сдают авторам ProLock в аренду доступ к взломанной ими корпоративной сети.
https://www.securitylab.ru/upload/ib...01e4e13573.png
Ранее в этом месяце ФБР США опубликовало предупреждение о новом образце вымогательского ПО ProLock, использовавшемся в атаках на правительственные и финансовые организации, здравоохранительные учреждения и торговые предприятия. На прошлой неделе жертвой ProLock https://www.securitylab.ru/news/508200.phpкрупнейший в США и один из крупнейших в мире поставщиков банкоматов и технологий для осуществления платежей Diebold Nixdorf.
Обнаруженный в марте 2020 года ProLock является так называемым «управляемым человеком вымогательским ПО». К данному типу относятся вредоносные программы, устанавливаемые киберпреступниками в корпоративных сетях вручную после первоначальной компрометации. Как сообщили в ФБР, в случае с ProLock вымогатель попадает в сети с помощью трояна Qakbot (Qbot). Специалисты Group-IB https://www.group-ib.com/blog/prolockэтот факт.
Сотрудничество между разными киберпреступными группировками – явление нередкое. К примеру, вымогательское ПО Ryuk и Maze заражало системы жертв через TrickBot, а ПО DopplePaymer попадало на компьютеры, изначально инфицированные Dridex. На момент написания новости оставалось неясным, являются ли авторы ProLock также создателями Qakbot. Не исключено, что операторы Qakbot сдают авторам ProLock в аренду доступ к взломанной ими корпоративной сети в рамках бизнес-модели Crimeware-as-a-Service.
Согласно предупреждению ФБР, инструмент для восстановления зашифрованных файлов, предоставляемый вымогателями в обмен на денежное вознаграждение, не работает должным образом. Декриптор повреждает файлы, размер которых превышает 64 МБ, поэтому жертвам ProLock крайне не рекомендуется платить выкуп.