Mount Locker Ransomware bliver mere farligt

Sikkerhedsforskere rapporterer, at Mount Locker-ransomware udvider sit arsenal med nye og farlige værktøjer. Den ransomware, der hedder Mount Locker, har eksisteret og i naturen i et stykke tid nu og kom først på overskrifter tilbage i september 2020. Den gamle hund lærer nye tricks, ser det ud til og bliver lidt af en ansigtsløftning, prøver nu at omdøbe sig selv som AstroLocker.

Nye kampagner, der bruger Mount Locker, har vist ransomwares opdaterede og mere avancerede funktioner, herunder forbedret scripting og overlegne anti-forebyggelsesfunktioner. Samtidig med at Mount Locker udvides, vises Mount Locker nu også under det nye navn AstroLocker.

Efter sin første spotting i naturen tilbage i september fik ransomware en væsentlig opdatering et par måneder senere, hovedsageligt rettet mod ransomware's målretningsevne.

Forskere med GuidePoint Security kalder denne seneste opdatering fra april for et "aggressivt skift" i den måde, Mount Locker fungerer på.

Mount Locker misbruger legitim software og applikationer for at nå sine mål. Disse inkluderer et katalogvisualiseringsværktøj og en erstatningsklient til Telnet.

Når Mount Locker har fundet vej på offerets system, behandler det først sikkerhedskopier for at forhindre datagendannelse og kontakter derefter sin C2-server for at levere krypteringsnyttelasten, tilpasset hvert offer.

Den måde Mount Locker forsøger at undgå bestemte lag af afsløring i sin nye kampagne er ved hjælp af batch-scripts. Disse scripts er designet på en måde, der sigter mod at lukke alle værktøjer og miljøer, der muligvis registrerer ransomware eller forhindrer dens udførelse.

Den mest bekymrende del af dette er, at de nye batch-scripts ikke er værktøjer, der passer til alle. De er altid skræddersyet til at målrette mod offerets specifikke netværksmiljø.

Trusselsaktører bag de seneste Mount Locker-angreb har også brugt flere CobaltStrike-servere, hver med sit eget unikke domæne, hvilket yderligere forhindrer afsløring. Ifølge GuidePoint er denne tilgang ikke særlig almindelig, fordi mængden af arbejde involveret for at få det hele til at klikke er betydelig.

Mange af de nylige angreb ved hjælp af Mount Locker har været rettet mod bioteknologi. Denne sektor er især lukrativ for hackere, både på grund af de meget følsomme oplysninger, de muligvis kan stjæle.

GuidePoint mener også, at der er et orkestreret skub for at ommærke den nye, mere avancerede version af Mount Locker under navnet AstroLocker. I tilfælde af Mount Locker, der køres som ransomware-as-a-service-drift, ville dette give meget mening.