Nueva alerta por el robo de datos del ransomware ProLock

Nueva alerta por el robo de datos del ransomware ProLock

José Antonio Lorenzo

Cada día miles de equipos son infectados por algún tipo de virus, malware o ransomware. El FBI y otros organismos están mandando una serie de alertas por el robo de datos por el ransomware ProLock. Este software dañino, no es la primera vez que causa estragos y problemas, sus antecedentes se remontan al año 2019. Hoy os explicamos en detalle todo sobre Prolock y cómo afecta a sus víctimas.

Breve historia sobre Prolock

ProLock apareció por primera vez en el año 2019 y es uno más, de los muchos ransomware que, por desgracia, circulan por Internet. El objetivo principal de esta amenaza consiste en cifrar los archivos de las víctimas. A continuación, los ciberdelincuentes van a pedir un rescate para que puedan acceder de nuevo a los datos.

Una cosa que diferencia a ProLock de otros ransomware es que se asoció con el troyano QakBot. Gracias a este troyano le permite evitar ser detectado, hacer uso de algunas técnicas añadidas y también la eliminación de credenciales.

En ese sentido, QakBot es un troyano que en ocasiones ha utilizado el malware Emotet en sus campañas. Su forma de distribución es a través del correo electrónico mediante ataques de Phishing. En esos e-mails incluyen archivos Word maliciosos como archivos adjuntos. Para que sea efectivo, la víctima tendría que realizar dos acciones: una sería descargar ese archivo que recibe por e-mail, y la otra sería habilitar las macros.

De esta forma, ProLock mediante el uso de QakBot se aprovecha para utilizar brechas existentes. De esta forma puede lograr ataques más concretos y también tener más éxito. Simplemente enviando un correo a los destinatarios que quiera el ciberdelincuente puede ser un buen punto de partida.

Alertas sobre el robo de datos por el ransomware ProLock

El 4 mayo de 2020, el FBI emitió una alerta flash MI-000125-MW sobre el peligro que entrañaba el robo de datos por el ransomware ProLock. No obstante, debido a que los problemas que estaba causando este software malicioso iban en aumento, se tuvo que emitir una nueva. Se trata de la alerta 20200901-001 del 1 de septiembre.

En la alerta de mayo, se advirtió a las empresas y particulares que el descifrador de ProLock no funciona correctamente. El problema está en las víctimas podrían perder sus datos, ya que, en el caso de los archivos que ocupen más de 64 MB podrían dañarse durante el proceso de descifrado.

El aumento de la actividad y eficacia de Prolock se debió a su asociación con el troyano bancario QakBot como ya hemos comentado anteriormente. En ese sentido, una vez que nuestro equipo ha sido infectado con este ransomware nos saldrá una pantalla como esta.

Aquí se puede observar cómo se ha producido un robo de datos por el ransomware ProLock y nos piden un rescate por recuperar nuestros datos.

Prolock puede pedir rescates con cantidades altas

Los cibercriminales amenazan con utilizar los datos robados como palanca para persuadir a las organizaciones víctimas de que paguen rescates. Estos pueden oscilar entre 150.000 € y también hasta más de 500.000 €. El precio dependerá según el tamaño de la red comprometida. Actualmente, ProLock, ha cifrado con éxito las redes de organizaciones de todo el mundo de múltiples sectores industriales, de la salud, la construcción, las finanzas y el legal, además de agencias gubernamentales.

Los datos robados los almacenaban y guardaban en la nube

El robo de datos por el ransomware ProLock se realiza utilizando varios vectores de ataque para violar los sistemas de sus víctimas como:

  1. Los correos electrónicos de phishing con archivos adjuntos maliciosos de QakBot.
  2. La utilización de credenciales robadas.
  3. La explotación de fallos de seguridad en la configuración del sistema.

Un dato a destacar es que descubrieron que estos delincuentes archivaban y almacenaban los datos robados en plataformas de almacenamiento en la nube, como OneDrive, Google Drive y Mega. Esto lo hacían con la ayuda de la herramienta en línea de comandos de sincronización de almacenamiento en la nube Rclone .

Cómo actuar ante Prolock y prevenirlo

Desde instituciones como el FBI y otras agencias de seguridad se recomienda a los afectados por los ataques del ransomware ProLock a no ceder a las demandas de los cibercriminales pagando los rescates. La razón para no hacerlo es que el pago anima a buscar nuevas víctimas y también a financiar futuros actos ilegales. Esta es la nota de rescate de los atacantes explicando en un documento de qué debemos hacer para pagar ese rescate.

Cómo podéis observar para hacer el pago y mantener su anonimato piden que se realice utilizando el navegador Tor.

Por último, para evitar el robo de datos por el ransomware ProLock, desde RedesZone recomendamos el uso de sentido común no descargando archivos maliciosos, contar con herramientas de seguridad y tener instalados los últimos parches y actualizaciones de nuestro software.