Nem sok időt hagy a védekezésre a Quantum zsarolóvírus

​A Quantum Locker zsarolóprogram átlagosan négy óra alatt képes térdre kényszeríteni akár egy nagyobb informatikai hálózatot is.
 

A vírus története 2020-ig nyúlik vissza, amikor a MountLocker zsaroló program színre lépett. Ezt a károkozót aztán a készítői többször átnevezték, így az AstroLocker és XingLocker néven is feltűnt. 2021 augusztusában pedig egy olyan variáns kezdett terjedni, amely a titkosított, kompromittált állományok fájlnevét .quantum kiterjesztéssel egészítette ki. Innen kapta a legújabb változat a nevét.
 
A Quantum Locker (vagy Quantum) viszonylag gyors terjedésre képes. Különösen fürge, ha a belső hálózatokban kell károkat okoznia, ami egyben azt is jelenti, hogy a támadásának detektálására, valamint a védelmi intézkedések érvénybe léptetésére nincs sok idejük az üzemeltetőknek. A The DFIR Report biztonsági elemzői szerint átlagosan 3 óra 44 perc szükséges a károkozónak ahhoz, hogy a többlépcsős támadását végrehajtsa.
 
ISO-s támadások
 
A Quantum Locker jelenleg elsősorban olyan elektronikus levelek révén terjed, amelyek mellékletében egy-egy ISO-fájl kap helyet. Ez sok esetben átcsúszik a tartalomszűrőkön, így a kártevő nagyobb valószínűséggel képes eljutni a kiszemelt felhasználók postafiókjáig.
 
Amennyiben a címzett kíváncsiságtól vezérelve megnyitja az ISO-állományt, akkor a károkozó számára megnyílik az út a fertőzéshez. Ekkor azonban még nem a Quantum jut szerephez, hanem az IcedID nevű trójai, amely eredetileg egy banki adatok lopására kifejlesztett trójai program volt. Most azonban elsősorban az a feladata, hogy előkészítse a terepet a zsarolóvírus számára, valamint feljuttassa az érintett rendszerre a Cobalt Strike-ot, amelyet a cmd.exe folyamatba injektál. Így lehetőség nyílik egyebek mellett az LSASS memóriaterületének kémlelésére, hitelesítési információk összegyűjtésére és a helyi hálózatban történő terjedésre. A szerzemény a kártékony állományokat a C$ megosztáson keresztül próbálja feljuttatni további számítógépekre. Néhány órával később pedig a fertőzött rendszereken használhatatlanná válnak az értékes állományok, adatok.
 
A Quantum Locker alkalmas kettős zsarolások végrehajtására, vagyis nem kizárólag a titkosított fájlok helyreállításáért cserébe követel váltságdíjat, hanem az általa kiszivárogtatott adatokért is.