FBI 再現 falsh 警告：ProLock 勒索軟件竊取數據，攻擊建筑、金融等全球性組織

聯邦調查局（FBI）發布了關于 ProLock 勒索軟件竊取數據的第二次flash警報，距聯邦政府發布的關于同一威脅的第一次警告已經四個月了。

FBI于9月1日發布了關于ProLock勒索軟件竊取數據的20200901-001私人行業通知。這是第二次與該威脅相關的預警，第一次預警(MI-000125-MW Flash Alert)發布于2020年5月4日。

當時，美聯儲警告說，ProLock的解密器無法正常工作，使用它可能會徹底破壞數據。在解密過程中，描述符可能損壞大于64MB的文件。

人工操作的PwndLocker勒索軟件于2019年底首次出現在威脅領域，運營商的要求從175,000美元到價值超過660,000美元的比特幣不等。

根據FBI的說法，受到威脅的運營商可以通過 Qakbot（Qbot）木馬訪問被黑客入侵的網絡，但Group-IB的專家補充說，他們還攻擊不受保護的遠程桌面協議(RDP)服務器，這些服務器的證書很弱。目前尚不清楚ProLock勒索軟件是由Qakbot團伙管理的，還是ProLock運營商花錢訪問感染了Qakbot的主機，以傳遞他們的惡意軟件。

“ProLock操作員使用了兩個主要的初始訪問媒介：QakBot（Qbot）和具有弱憑據的不受保護的遠程桌面協議（RDP）服務器。” 閱讀由Group-IB發布的報告。

“后者是勒索軟件運營商中相當普遍的技術。這種訪問權限通常是從第三方購買的，但也可以由組成員獲得。”

3月份，安全公司Emsisoft發布了免費的解密工具后，PwndLocker背后的威脅參與者將其惡意軟件的名稱更改為ProLock。

ProLock勒索軟件被用于攻擊來自建筑，金融，醫療保健和法律等多個領域的全球組織。該惡意軟件還用于針對美國政府機構和工業實體的攻擊。

勒索軟件運營商過去曾將被盜數據上傳到OneDrive，Google Drive和Mega等云存儲平臺。威脅參與者使用了 Rclone 云存儲同步命令行工具。

FBI建議勒索軟件攻擊的受害者避免支付贖金以解密其文件并立即向當局報告攻擊。

FBI還提供了一些建議，以減輕與勒索軟件攻擊相關的風險，例如定期將數據備份到離線備份系統，使任何軟件保持最新狀態，禁用未使用的RDP訪問，使用兩因素身份驗證（2FA）在任何可能的地方。