🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
🚀 CloudSEK se torna a primeira empresa indiana de segurança cibernética a fazer parceria com o The Private Office
🚀 O CloudSEK aumentou Rodada da Série B1 de $19 milhões — Potencializando o futuro da cibersegurança preditiva
Home
Threat Intelligence Posts
Ransomware

Aviso da Intel sobre ameaças de ransomware Evolved ProLock

Consultoria de inteligência de ameaças da CloudSEK sobre ProLock Ransomware, anteriormente malware PwndLocker, Mitre ATT&CK, IOCs e medidas preventivas.
Updated on
April 17, 2026
Published on
September 16, 2020
Read MINUTES
5
Subscribe to the latest industry news, threats and resources.
O ransomware ProLock, anteriormente PwndLocker, foi lançado em março de 2020 com recursos avançados. Esse ransomware evoluído começou a operar no final de 2019 e foi o principal responsável pelo ataque contra o fabricante de caixas eletrônicos Diebold Nixdorf e o estado americano de Illinois. Primeiro, ele criptografa os arquivos com o algoritmo RSA-2048, modifica os nomes dos arquivos e, em seguida, cria uma mensagem de resgate. O ransomware então anexa a extensão “.proLock” aos nomes de todos os arquivos criptografados.Os operadores de ransomware ProLock obtêm acesso a redes invadidas por meio da botnet que rouba informações Qakbot (Qbot), que por sua vez é capaz de se espalhar pelas redes. Servidores RDP desprotegidos também facilitam a intrusão. No passado, o ProLock tinha como alvo vários setores, incluindo construção, finanças, saúde e jurídico. O malware também foi usado em ataques direcionados a agências governamentais e entidades industriais dos EUA. Para exfiltração, os operadores do ProLock usam um programa de computador legítimo - Rclone - ferramenta de linha de comando capaz de copiar e sincronizar arquivos de e para diferentes provedores de armazenamento em nuvem, como OneDrive, Google Drive, Mega etc. O executável é sempre renomeado para se parecer com binários legítimos do sistema. Os pedidos de resgate da operadora variam de $175.000 a mais de $660.000 em Bitcoins (Fig.1). [caption id="attachment_8136" align="aligncenter” width="486"]Ransom Note from ProLock ransomware Fig.1 Nota de resgate [/caption]

Impacto

A estrutura de gerenciamento de configuração e automação de tarefas da Microsoft, PowerShell, é usada para extrair o binário de um arquivo PNG ou JPG e injetá-lo na memória. O ProLock elimina processos da lista incorporada e interrompe serviços, incluindo os relacionados à segurança, como CSFalconService, usando o comando net stop. Em seguida, ele utiliza o processo Vssadmin do Windows para remover cópias de sombra de volume e limitar seu tamanho, para garantir que nenhuma nova cópia seja criada (fig.2). [caption id="attachment_8138" align="aligncenter” width="426"]Removing Volume Shadow Copies ProLock ransomware Figura 2. Removendo cópias do Volume Shadow [/caption]

Mapeamento Mitre ATT&CK

Tática
Técnica
Acesso inicialServiços remotos externos (T1133), Anexo de Spearphishing (T1193), Link de Spearphishing (T1192)Execução Powershell (T1086), scripts (T1064), execução de usuário (T1204), instrumentação de gerenciamento do Windows (T1047)Persistência Chaves de execução do registro/pasta de inicialização (T1060), tarefa agendada (T1053), contas válidas (T1078)Evasão de defesaAssinatura de código (T1116), desofuscar/decodificar arquivos ou informações (T1140), desativar ferramentas de segurança (T1089), exclusão de arquivos (T1107), mascaramento (T1036), injeção de processo (T1055)Acesso à credencial Despejo de credenciais (T1003), força bruta (T1110), captura de entrada (T1056)Descoberta Detecção de contas (T1087), descoberta de confiança de domínio (T1482), descoberta de arquivos e diretórios (T1083), verificação de serviços de rede (T1046), descoberta de compartilhamento de rede (T1135), descoberta remota de sistemas (T1018)Movimento lateral Protocolo de área de trabalho remota (T1076), cópia remota de arquivos (T1105), compartilhamentos de administração do Windows (T1077)Coleção Dados do sistema local (T1005), dados da unidade compartilhada de rede (T1039), dados estagiados (T1074)Comando e controle Porta comumente usada (T1043), serviço Web (T1102)Exfiltração Dados compactados (T1002), transferência de dados para a conta na nuvem (T1537)Impacto Dados criptografados para impacto (T1486), inibem a recuperação do sistema (T1490)

IOCs//Hashes//URLs

  1. http://185.212.128.8/j078.exe
  2. http://185.212.128.8/j080.exe
  3. http://185.212.128.8/q109.exe
  4. http://185.212.128.8/B/
  5. b262b1b82e5db337d367ea1d4119cadb928963896f1aff940be763a00d45f305
  6. 2f0e4b178311a260601e054b0b405999715084227e49ff18a19e1a59f7b2f309
  7. a6ded68af5a6e5cc8c1adee029347ec72da3b10a439d98f79f4b15801abd7af0
  8. 18661f8c245d26be1ec4df48a9e186569a77237f424f322f00ef94652b9d5f35
  9. dfbd62a3d1b239601e17a5533e5cef53036647901f3fb72be76d92063e279178
  10. e2a961c9a78d4c8bf118a0387dc15c564efc8fe9
  11. 4f125d890a8f98c9c7069b0bb2b5625c7754fad6
  12. 81d5888bb8d43d88315c040be1f51db6bb5cf64c
  13. 0ce3614560e7c1ddbc3b8f56f3e45278de47d3bb
  14. 9cae5fcefc8bc9b748b4b16549e789e27ae816df
  15. a037439ad7e79dbf4a20664cf10126c93429e350
  16. 3355ace345e98406bdb331ccad568386
  17. c579341f86f7e962719c7113943bb6e4

Medidas preventivas

  1. Crie um backup para seus arquivos mais importantes regularmente
  2. Personalize suas configurações anti-spam
  3. Corrija e atualize seu software e sistema
  4. Verifique se o Firewall do Windows está ativado e configurado corretamente
  5. Desativar o Windows Script Host
  6. Desative o Windows PowerShell, que é uma estrutura de automação de tarefas
  7. Desativar macros e ActiveX
  8. Use senhas fortes para evitar ataques de força bruta
  9. Bloqueie endereços IP maliciosos conhecidos
  10. Use um antivírus adequado, que não permita execução indesejada
  11. Não clique em links suspeitos
  12. Divulgue essas ameaças entre os usuários
CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.
Recent Posts

Recent Articles

Anonymous Sudan alega a remoção bem-sucedida do primeiro site e aplicativo do banco de Abu Dhabi por meio de ataques de DDoS
May 29, 2023
Expondo o uso indevido de e-mail da Qwiklabs em fraudes de pagamento sorrateiras envolvendo a configuração de contas comerciais da UPI
January 17, 2024

Get Global Threat Intelligence on Real Time

Protect your business from cyber threats with real-time global threat intelligence data.. 30-day free and No Commitment Trial.
Agende uma demonstração
Real time Threat Intelligence Data
More information and context about Underground Chatter
On-Demand Research Services
Dashboard mockup
Global Threat Intelligence Feed

Protect and proceed with Actionable Intelligence

The Global Cyber Threat Intelligence Feed is an innovative platform that gathers information from various sources to help businesses and organizations stay ahead of potential cyber-attacks. This feed provides real-time updates on cyber threats, including malware, phishing scams, and other forms of cybercrime.
Trusted by 400+ Top organisations
Get started
Learn more