Mount Locker Ransomware wird immer gefährlicher

Sicherheitsforscher berichten, dass die Mount Locker Ransomware ihr Arsenal um neue und gefährliche Tools erweitert. Die Ransomware mit dem Namen Mount Locker ist schon seit einiger Zeit in der Wildnis und macht erstmals im September 2020 Schlagzeilen. Der alte Hund lernt anscheinend neue Tricks und bekommt ein kleines Facelifting und versucht es jetzt sich als AstroLocker umzubenennen.

Neue Kampagnen, die Mount Locker verwenden, haben die aktualisierten und erweiterten Funktionen der Ransomware angezeigt, einschließlich verbesserter Skripterstellung und überlegener Anti-Präventionsfunktionen. Gleichzeitig mit der Erweiterung seiner Funktionen wird Mount Locker nun auch unter dem neuen Namen AstroLocker angezeigt.

Nach der ersten Beobachtung in freier Wildbahn im September erhielt die Ransomware einige Monate später ein bedeutendes Update, das sich hauptsächlich auf die Targeting-Fähigkeiten der Ransomware bezog.

Forscher mit GuidePoint Security bezeichnen dieses neueste Update vom April als "aggressive Veränderung" der Funktionsweise von Mount Locker.

Mount Locker missbraucht legitime Software und Anwendungen, um seine Ziele zu erreichen. Dazu gehören ein Verzeichnisvisualisierungstool und ein Ersatzclient für Telnet.

Sobald Mount Locker den Weg auf das System des Opfers gefunden hat, werden zunächst alle Sicherungen durchgeführt, um die Datenwiederherstellung zu verhindern. Anschließend wird der C2-Server kontaktiert, um die für jedes Opfer angepasste Verschlüsselungsnutzlast bereitzustellen.

Die Art und Weise, wie Mount Locker versucht, bestimmte Erkennungsebenen in seiner neuen Kampagne zu vermeiden, ist die Verwendung von Batch-Skripten. Diese Skripte sind so konzipiert, dass Tools und Umgebungen heruntergefahren werden, die die Ransomware erkennen oder deren Ausführung verhindern könnten.

Das Besorgniserregendste daran ist, dass die neuen Batch-Skripte keine einheitlichen Tools sind. Sie sind immer maßgeschneidert, um auf die spezifische Netzwerkumgebung des Opfers abzuzielen.

Bedrohungsakteure, die hinter den jüngsten Mount Locker-Angriffen stehen, haben auch mehrere CobaltStrike-Server verwendet, von denen jeder über eine eigene Domäne verfügt, was die Erkennung weiter behindert. Laut GuidePoint ist dieser Ansatz nicht besonders verbreitet, da der Arbeitsaufwand, der erforderlich ist, um alles zum Klicken zu bringen, erheblich ist.

Viele der jüngsten Angriffe mit Mount Locker waren auf Biotechnologie gerichtet. Dieser Sektor ist besonders für Hacker lukrativ, da sie möglicherweise hochsensible Informationen stehlen können.

GuidePoint glaubt auch, dass es einen orchestrierten Vorstoß gibt, die neue, fortgeschrittenere Version von Mount Locker unter dem Namen AstroLocker umzubenennen. Im Fall von Mount Locker, der als Ransomware-as-a-Service-Operation ausgeführt wird, wäre dies sehr sinnvoll.