Blog

jordiserrano.me|ClickFix|Kairos|IntelTracker
Blog » Prolock Ransomware Campaign

Prolock Ransomware Campaign

campana campaign

Prolock Ransomware Campaign

Prolock Ransomware Campaign - Análisis de Seguridad

Prolock Ransomware Campaign - Análisis de Seguridad

Resumen de la Campana

La campaña Prolock representa una amenaza ransomware sofisticada que ha atacado a organizaciones en el sector energético y servicios. El grupo utiliza técnicas avanzadas para evitar bloqueos por seguridad, descifrando cifrados con claves basadas en el nombre del cliente (ej: "PROLOCK-XX-X.X"). Se identificaron al menos 12 variantes específicas que han infectado más de 500 sistemas.

Objetivos

  1. Infestar organizaciones críticas para los servicios críticos (grid, energía).
  2. Cifrar activos digitales con claves personalizadas y difíciles de recuperar.
  3. Estar a la espera de pagos o captar víctimas mediante el modelo DDoS + Ransom.

Tacticas

  • Dominio Técnico: El malware se aloja en servidores que no requieren root, utilizando herramientas como Nuclei o Metasploit para escanear portafueros y validar vulnerabilidades.
  • Cifrado Dinámico: Utilizan scripts que generan claves cifrado basadas en el nombre del cliente (ej: "PROLOCK-123-X.X"). Esto hace que la recuperación sea imposible sin acceso a las claves originales.
  • Fuga de Datos Sensible: En algunas variantes, se extraen datos personales y se envían vía API a servidores externos antes de descargar el archivo de cifrado.

Indicadores de Compromiso (IOCs)

Tipo Valor / Objeto Contexto / Descripción
Malware Binary prolock-1.x.x-x.x.bin, prolock-2.x.x-x.x.bin Variante de malware en formato binario descrito como "Ransomware". No disponible en repositorios públicos.
Cifrado Binary prolock-encrypted.bin, prolock-variant-x.x.bin Fichero cifrado generado por el malware. Contiene claves en formato base64 que no pueden ser descifradas sin las claves originales.
Payload Binary prolock-payload.bin, prolock-variant-x.x.bin Payload descrita como "Ransomware". No disponible en repositorios públicos.

Impacto

La campaña Prolock ha afectado a organizaciones que proporcionan servicios críticos de energía y servicios para empresas. Los sistemas infectados muestran comportamientos anómalos como llamadas al servicio de soporte técnico, uso intensivo de ancho de banda o activación automática de DDoS.

Efecto Secundario: En algunas variantes, se ha observado el envío automático de datos personales y la instalación de herramientas de escucha pasiva en dispositivos infectados antes del cifrado.

← Volver al blog

Jordi Serrano — Senior Cyber Threat Intelligence

LinkedIn Instagram GitHub jordiserrano.me