Le succès des attaques de rançongiciels contre des organisations du monde entier incite de plus en plus de nouveaux attaquants à "entrer dans le jeu". L'un de ces nouveaux acteurs est le groupe de rançongiciels ProLock. Il est apparu en mars 2020 en tant que successeur du programme PwndLocker, qui a commencé à fonctionner fin 2019. Les attaques de rançongiciels ProLock visent principalement les organisations financières et médicales, les agences gouvernementales et le secteur de la vente au détail. Récemment, les opérateurs ProLock ont attaqué avec succès l'un des plus grands fabricants de GAB, Diebold Nixdorf.Dans ce poste, Oleg Skulkin, spécialiste principal, Laboratoire de criminalistique informatique Group-IB, présente les tactiques, techniques et procédures de base (TTP) utilisées par les opérateurs ProLock. À la fin de l'article - une comparaison avec la matrice MITRE ATT & CK, une base de données publique qui contient des tactiques d'attaques ciblées utilisées par divers groupes cybercriminels.Obtenir un accès initial
Les opérateurs ProLock utilisent deux vecteurs principaux de compromis principal: le serveur QakBot Trojan (Qbot) et les serveurs RDP non protégés avec des mots de passe faibles.Le compromis via un serveur RDP accessible de l'extérieur est extrêmement populaire auprès des opérateurs de ransomware. En règle générale, les attaquants achètent l'accès à un serveur compromis à des tiers, mais il peut également être obtenu par les membres du groupe de leur propre chef.Un vecteur de compromis principal plus intéressant est le malware QakBot. Auparavant, ce cheval de Troie était associé à une autre famille de chiffreurs - MegaCortex. Cependant, il est désormais utilisé par les opérateurs ProLock.En règle générale, QakBot est distribué via des campagnes de phishing. Un e-mail de phishing peut contenir un document Microsoft Office joint ou un lien vers un tel fichier situé dans le stockage cloud - par exemple, Microsoft OneDrive.Il existe également des cas de chargement de QakBot avec un autre cheval de Troie - Emotet, qui est largement connu pour sa participation à des campagnes de distribution du rançongiciel Ryuk.Performance
Après avoir téléchargé et ouvert le document infecté, l'utilisateur est invité à autoriser l'exécution des macros. En cas de succès, PowerShell est lancé pour charger et exécuter la charge utile QakBot à partir du serveur de commandes.Il est important de noter que la même chose s'applique à ProLock: la charge utile est extraite d'un fichier BMP ou JPG et chargée en mémoire à l'aide de PowerShell. Dans certains cas, une tâche planifiée est utilisée pour démarrer PowerShell.Script par lots qui lance ProLock via le planificateur de tâches:
schtasks.exe /CREATE /XML C:\Programdata\WinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:\Programdata\WinMgr.xml
del C:\Programdata\run.bat
Broche système
S'il était possible de compromettre le serveur RDP et d'y accéder, les comptes existants sont utilisés pour sécuriser le réseau. QakBot est caractérisé par une variété de mécanismes d'épinglage. Le plus souvent, ce cheval de Troie utilise la clé de registre Run et crée des tâches dans le planificateur:Sécuriser Qakbot sur le système à l'aide de la clé de registre Run
Dans certains cas, des dossiers de démarrage sont également utilisés: un raccourci y est placé qui pointe vers le chargeur de démarrage.Contournement de protection
Grâce à la communication avec le serveur de commandes, QakBot essaie périodiquement de se mettre à jour, par conséquent, pour éviter la détection, le malware peut remplacer sa version actuelle par une nouvelle. Les fichiers exécutables sont signés avec une signature compromise ou fausse. La charge utile initiale chargée par PowerShell est stockée sur un serveur de commandes avec l'extension PNG . De plus, après exécution, il est remplacé par le fichier légitime calc.exe .De plus, pour masquer les activités malveillantes, QakBot utilise pour cela la technique d'incorporation de code dans les processus utilisant explorer.exe .Comme déjà mentionné, la charge utile ProLock est cachée dans un fichier BMP ou JPG. Elle peut également être considérée comme une méthode de contournement de la protection.Récupérer les informations d'identification
QakBot a la fonctionnalité d'un enregistreur de frappe. En outre, il peut charger et exécuter des scripts supplémentaires, par exemple, Invoke-Mimikatz - version PowerShell du célèbre utilitaire Mimikatz. Ces scripts peuvent être utilisés par les cybercriminels pour vider les informations d'identification.Intelligence réseau
Après avoir accédé à des comptes privilégiés, les opérateurs ProLock procèdent à l'intelligence du réseau, qui peut notamment inclure l'analyse des ports et l'analyse de l'environnement Active Directory. En plus de divers scripts, les attaquants utilisent AdFind, un autre outil populaire parmi les groupes qui utilisent des ransomwares, pour collecter des informations sur Active Directory.Promotion Web
Traditionnellement, l'un des moyens les plus populaires pour surfer sur le net est le protocole Remote Desktop. ProLock ne faisait pas exception. Les attaquants ont même des scripts dans leur arsenal pour accéder à distance via RDP aux hôtes cibles.Script BAT pour l'accès via RDP:
Pour l'exécution de script à distance, les opérateurs ProLock utilisent un autre outil populaire - l'utilitaire PsExec du package Sysinternals Suite. ProLock sur les hôtes est lancé à l'aide de WMIC, qui est une interface de ligne de commande pour travailler avec le sous-système Windows Management Instrumentation. Cet outil gagne également en popularité auprès des opérateurs de ransomware.reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /fCollecte de données
Comme de nombreux autres opérateurs de rançongiciels, un groupe utilisant ProLock collecte des données à partir d'un réseau compromis pour augmenter leurs chances d'obtenir une rançon. Avant l'exfiltration, les données collectées sont archivées à l'aide de l'utilitaire 7Zip.Exfiltration
Pour télécharger des données, les opérateurs ProLock utilisent Rclone, un outil en ligne de commande conçu pour synchroniser des fichiers avec divers services de stockage cloud, tels que OneDrive, Google Drive, Mega, etc. Les attaquants renomment toujours un fichier exécutable pour ressembler à des fichiers système légitimes.Contrairement à leurs «collègues», les opérateurs ProLock ne disposent toujours pas de leur propre site Web pour publier des données volées appartenant à des entreprises qui ont refusé de payer la rançon.Atteindre l'objectif ultime
Après avoir exfiltré les données, l'équipe déploie ProLock sur l'ensemble du réseau d'entreprise. Le fichier binaire est extrait d'un fichier avec l'extension PNG ou JPG à l' aide de PowerShell et incorporé dans la mémoire:
Tout d'abord, ProLock termine les processus indiqués dans la liste intégrée (il est intéressant de noter qu'il n'utilise que six lettres du nom du processus, par exemple, «winwor»), et se termine services, y compris ceux liés à la sécurité, tels que CSFalconService (CrowdStrike Falcon), à l'aide de la commande net stop .Ensuite, comme dans le cas de nombreuses autres familles de ransomwares, les attaquants utilisent vssadmin pour supprimer les clichés instantanés de Windows et limiter leur taille, de sorte que de nouvelles copies ne seront pas créées:vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unbounded
ProLock ajoute l'extension .proLock , .pr0Lock ou .proL0ck à chaque fichier chiffré et place le fichier [COMMENT RECUPERER LES FICHIERS] .TXT dans chaque dossier. Ce fichier contient des instructions sur la façon de décrypter les fichiers, y compris un lien vers le site où la victime doit saisir un identifiant unique et recevoir les informations de paiement:Chaque instance de ProLock contient des informations sur le montant du rachat - dans ce cas, il s'agit de 35 bitcoins, soit environ 312 000 dollars.Conclusion
De nombreux opérateurs de ransomware utilisent des méthodes similaires pour atteindre leurs objectifs. En même temps, certaines techniques sont uniques à chaque groupe. Il existe un nombre croissant de groupes de cybercriminels utilisant des chiffreurs dans leurs campagnes. Dans certains cas, les mêmes opérateurs peuvent participer à des attaques utilisant différentes familles de ransomwares, nous observerons donc de plus en plus les intersections dans les tactiques, les techniques et les procédures utilisées.Cartographie avec MITRE ATT & CK Mapping