s0654-prolock - RunkIntel

# ProLock > Tipo: **malware (ransomware)** - Big Game Hunting - S0654 - [MITRE ATT&CK](https://attack.mitre.org/software/S0654) > [!info] Steganografia como vetor de entrega - Técnica incomum > O ProLock utiliza esteganografia para ocultar seu payload executavel dentro de arquivos de imagem BMP comuns (`WinMgr.bmp`). O payload e extraido via PowerShell ofuscado e injetado diretamente na memoria sem tocar o disco - técnica fileless que dificulta análise forense e detecção por soluções tradicionais. ## Visão Geral [[s0654-prolock|ProLock]] e um ransomware de Big Game Hunting (BGH) ativo desde outubro de 2019, surgindo inicialmente como PwndLocker. A versao original PwndLocker continha um bug critico na implementacao criptografica que permitia descriptografar arquivos sem pagamento do resgaté - uma falha que forcou os operadores a relancar o malware como ProLock em marco de 2020 após corrigir o problema. O ProLock e frequentemente implantado em redes previamente comprometidas pelo [[s0650-qakbot|QakBot]] (aka QBot), um trojan bancario modular que serve como vetor de acesso inicial. O ProLock implementa dupla extorsao: antes de cifrar, utiliza Rclone para exfiltrar dados da rede da vitima, ameaçando públicar ou vender as informações em redes sociais e sites públicos caso o resgaté nao sejá pago dentro do prazo. A nota de resgaté caracteristica afirma "Nothing personal, just business". O primeiro ataque de grande repercussao foi contra a Diebold Nixdorf, um dos maiores fabricantes de ATMs do mundo, em abril de 2020. Os operadores do ProLock eventualmente migraram para o [[s0554-egregor|Egregor]] ransomware em setembro de 2020 - o Group-IB documentou que os TTPs sao quase identicos, incluindo o mesmo uso do [[s0650-qakbot|QakBot]], as mesmas ferramentas (md.exe, rdp.bat, svchost.exe) e a mesma convencao de nomenclatura, sugerindo que sao os mesmos operadores com malware diferente. **Plataformas:** Windows ## Como Funciona O acesso inicial e obtido via [[s0650-qakbot|QakBot]] distribuido por malspam com links para arquivos ZIP contendo VBScripts ou documentos Office maliciosos com macros. Alternativamente, acesso direto via RDP comprometido ou com credenciais fracas. O [[s0650-qakbot|QakBot]] realiza o reconhecimento inicial, captura credenciais via sniffing e usa essas credenciais para movimentação lateral. **Cadeia de execução do ProLock:** 1. Script `run.bat` cria uma tarefa agendada no Windows Task Scheduler usando o arquivo `clean.bat` configurado via `WinMgr.xml` 2. A tarefa executa `clean.bat` que contem um script PowerShell ofuscado e codificado em Base64 3. O PowerShell extrai o payload do ProLock do arquivo de imagem `WinMgr.bmp` via esteganografia ([[t1027-003-steganography|T1027.003]]) 4. O payload e carregado diretamente na memoria (fileless) e executado 5. O ProLock nao cifra os primeiros 8.192 bytes de cada arquivo - hibrido entre texto plano e cifrado que pode causar corrupcao em arquivos > 64MB **Criptografia:** RC6 para cifrar arquivos, com a chave protegida por RSA-2048. Arquivos cifrados recebem extensoes `.proLock`, `.pr0Lock`, `.proL0ck` ou `.key`. Os arquivos com extensoes `.bac` e `.bak` sao DELETADOS (nao cifrados) - vitimas que pagam o resgaté ainda perdem esses arquivos de backup. ## Attack Flow ```mermaid graph TB A["📧 QakBot via Malspam Link para ZIP com VBScript T1566.002 Spearphishing Link"] --> B["🔗 QakBot Implantado Reconhecimento de AD Captura de credenciais"] B --> C["🔄 Movimentação Lateral WMI para execução remota RDP com credenciais capturadas"] C --> D["📤 Exfiltração Rclone Dados criticos antes da cifragem T1048 Exfiltration"] D --> E["🖼 Payload via Esteganografia WinMgr.bmp - BMP com ProLock T1027.003 Steganography"] E --> F["💉 Execução Fileless PowerShell carrega na memoria Sem artefatos em disco"] F --> G["🔑 Criptografia RC6 + RSA-2048 Extensao .proLock - 8KB poupados T1486 Data Encrypted for Impact"] classDef access fill:#c0392b,color:#fff classDef loader fill:#e67e22,color:#fff classDef lateral fill:#f39c12,color:#fff classDef exfil fill:#8e44ad,color:#fff classDef steg fill:#2980b9,color:#fff classDef fileless fill:#1a5276,color:#fff classDef encrypt fill:#1e3a5f,color:#fff class A access class B loader class C lateral class D exfil class E steg class F fileless class G encrypt ``` ## Timeline ```mermaid timeline title ProLock - Linha do Tempo 2019-10 : PwndLocker emerge - ataque a cidades dos EUA 2020-03 : Rebatizado como ProLock - bug de criptografia corrigido 2020-04 : Primeiro grande ataque - Diebold Nixdorf (ATMs) 2020-04 : FBI emite alerta sobre ProLock em healthcare e governo 2020-05 : Group-IB documenta cadeia QakBot + ProLock 2020-09 : Operadores migram para Egregor ransomware 2020-10 : Egregor ataca Cencosud (Chile/Brasil) e Crytek ``` ## Técnicas Utilizadas - [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] - entrega do QakBot - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - VBScript ou documentos Office - [[t1059-001-powershell|T1059.001 - PowerShell]] - decodificacao e execução do payload - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - VBScript inicial - [[t1197-bits-jobs|T1197 - BITS Jobs]] - download do payload do C2 - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - execução remota - [[t1027-003-steganography|T1027.003 - Steganography]] - payload em WinMgr.bmp - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - Base64 + ofuscacao - [[t1068-exploitation-for-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - CVE-2019-0859 - [[t1003-001-lsass-memory|T1003.001 - LSASS Memory]] - dump de credenciais - [[t1021-001-remote-desktop-protocol|T1021.001 - Remote Desktop Protocol]] - [[t1135-network-share-discovery|T1135 - Network Share Discovery]] - [[t1048-003-exfiltration-over-unencrypted-protocol|T1048.003 - Exfiltration via Rclone]] - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - RC6 + RSA-2048 - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - vssadmin - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - remove arquivo payload após execução ## Detecção > [!warning] QakBot como Precursor - Jánela de Oportunidade > A detecção e isolamento de hosts infectados com [[s0650-qakbot|QakBot]] e a melhor oportunidade para interromper um potencial ataque ProLock/Egregor. Qualquer maquina com QakBot deve ser isolada imediatamente e a rede auditada antes que os operadores implantem o ransomware. **Indicadores comportamentais:** - `WinMgr.bmp` em caminhos incomuns (`C:\ProgramData\`, `C:\Users\Public\`) - payload de esteganografia - Tarefa agendada Windows criando `run.bat` ou `clean.bat` com parametros incomuns - PowerShell descodificando grandes blocos Base64 e injetando código na memoria - BITS Job fazendo download de arquivo de servidor externo - Rclone executado com argumentos de sincronizacao para servicos de cloud storage - Extensoes `.proLock`, `.pr0Lock`, `.proL0ck` em arquivos de compartilhamentos de rede **Sigma recomendado:** - `proc_creation_win_qakbot_execution.yml` - `proc_creation_win_bitsadmin_download.yml` - `file_event_win_prolock_extension.yml` ## Relevância LATAM/Brasil O [[s0654-prolock|ProLock]] e seu sucessor [[s0554-egregor|Egregor]] tiveram impacto direto no Brasil via o ataque ao Cencosud em novembro de 2020 - um dos maiores grupos de varejo da América Latina, com operações no Brasil (Bretas, GBarbosa, Mercantil Rodrigues). O Egregor cifrou sistemas do Cencosud e exfiltrou dados de clientes. A cadeia QakBot-ProLock/Egregor demonstrou como a infecção por um trojan bancario comum pode escalar para um ataque devastador de ransomware BGH. Organizacoes brasileiras de varejo e manufatura com alta dependência de sistemas Windows legados sao alvos ideais para essa cadeia de ataque. ## Referências - [MITRE ATT&CK - S0654](https://attack.mitre.org/software/S0654) - [FBI Flash - ProLock Ransomware IOCs](https://iacc.memberclicks.net/assets/docs/COVID19/FBI%20-%20FLASH%20TLP%20Green%20-%20Indicators%20of%20Compromise%20Associated%20with%20ProLock.pdf) - [Group-IB - QakBot Operators Drop ProLock for Egregor](https://securityaffairs.com/111197/cyber-crime/qakbot-egregor-ransomware.html) - [Atlas Cybersecurity - ProLock Technical Analysis](https://atlas-cybersecurity.com/news/prolock-successor-to-pwndlocker-performs-hybrid-encryption/)