Спецпроекты

Троян-шифровальщик напал на госсектор и медучреждения. Даже если заплатить выкуп, данные не восстановятся

ПО Безопасность Бизнес ИТ в госсекторе

Вымогательская программа ProLock атакует сферы здравоохранения, финансов и государственные организации. Чем крупнее жертва, тем выше требования выкупа. При этом дешифратор, скорее всего, не сработает.

Считать потерянными

Федеральное бюро расследований США (ФБР) опубликовало предупреждение об участившихся атаках со стороны шифровальщика ProLock, терроризирующего торговый, финансовый, правительственный сектор, а также организации в сфере здравоохранения. Хуже всего то, что инструмент для дешифрования ProLock не работает, так что зашифрованные им данные можно считать безвозвратно потерянными.

Как указывается в сообщении ФБР, любые файлы размером больше 64 МБ, будут повреждены при дешифровке. В файлах размером более 100 МБ теряется по одному байту на каждый килобайт. Для корректной работы дешифратора его еще и требуется донастраивать. Так что даже если организации поддались на требования вымогателей, длительный простой им гарантирован.

Любопытно, что у авторов ProLocker с дешифровкой не задается с самого начала. Шифровальщик, сперва называвшийся PwndLocker, появился во второй половине 2019 г. Основными его целями были деловые и правительственные организации, причем размер требуемого выкупа прямо зависел от размеров скомпрометированной сети.

haker600.jpg
Шифровальщик требует крупный выкуп, но не дает расшифровать данные

Однако довольно быстро выяснилось, что в коде программы присутствует ошибка, так что расшифровать файлы было возможно без всяких выплат. Разработчики это исправили, переименовали шифровальщик в ProLocker и начали наращивать активность.

С троянцем на пару

По данным Group-IB, создатели ProLock заключили партнерство с операторами банковского троянца QakBot, что послужило более активному распространению вредоноса. Троянец не устанавливает непосредственно шифровальщик, но запускает серию скриптов, которые помогают операторам проникнуть в интересующую их сеть и осуществить разведку ее структуры. Эти скрипты извлекаются из файла BMP или JPG под названием WinMgr и загружаются в память.

Операторы ProLock некоторое время ищут наиболее важные для атакованной компании системы и данные. Прежде чем запустить шифрование, злоумышленники выводят данные с помощью Rclone — инструмента для синхронизации с различными облачными ресурсами, работающего через командную строку. Кроме того, злоумышленники могут использовать для проникновения в сети RDPили украденные логины и пароли. Все доступные резервные хранилища шифруются или их содержимое уничтожается, чтобы не оставить жертвам возможности восстановить данные без выплаты требуемых ресурсов.

Далее происходит стандартное: предъявляются требования выкупа, плюс злоумышленники обещают выложить данные в открытом доступе, если им не выплатят всю сумму. Размеры выкупа оказываются в пределах $175-660 тыс.

«Очевидно, что резервные хранилища, с постоянным подключением — слабая защита от подобных атак. От шифровальщика могут помогать только “холодные” бэкапы, где у вредоноса нет возможности выполнять свои операции, — говорит Анастасия Мельникова, эксперт по информационной безопасности компании SECConsultServices. — В любом случае атаки шифровальщиков, как пожар, легче предотвратить, чем потушить: несмотря на всю изобретательность злоумышленников, принципы первичного проникновения остаются одними и теми же. Например, QakBot, который служит проводником для ProLocker, распространяется со спамом. И следовательно, необходимо, чтобы работники организации — потенциального объекта атаки — знали об этом и знали как распознавать вредоносную корреспонденцию, даже если она выглядит вполне убедительно».