Mount Locker Ransomware devient de plus en plus dangereux

Les chercheurs en sécurité rapportent que le ransomware Mount Locker étend son arsenal avec des outils nouveaux et dangereux. Le ransomware portant le nom de Mount Locker existe depuis un certain temps dans la nature et a fait la une des journaux en septembre 2020. Le vieux chien apprend de nouvelles astuces, semble-t-il, et se refait une beauté, essayant maintenant pour se renommer comme AstroLocker.

De nouvelles campagnes utilisant Mount Locker ont affiché les fonctionnalités mises à jour et plus avancées du ransomware, notamment des scripts améliorés et des capacités anti-prévention supérieures. Parallèlement à l'expansion de ses fonctionnalités, Mount Locker apparaît désormais sous le nouveau nom d'AstroLocker.

Après sa découverte initiale dans la nature en septembre, le ransomware a reçu une mise à jour importante quelques mois plus tard, principalement axée sur les capacités de ciblage du ransomware.

Les chercheurs de GuidePoint Security appellent cette dernière mise à jour d'avril un «changement agressif» dans la façon dont Mount Locker fonctionne.

Mount Locker abuse de logiciels et d'applications légitimes pour atteindre ses objectifs. Ceux-ci incluent un outil de visualisation d'annuaire et un client de remplacement pour Telnet.

Une fois que Mount Locker a fait son chemin sur le système de la victime, il s'occupe d'abord des sauvegardes, pour empêcher la récupération des données, puis contacte son serveur C2 pour fournir la charge utile de chiffrement, personnalisée pour chaque victime.

La façon dont Mount Locker tente d'éviter certaines couches de détection dans sa nouvelle campagne consiste à utiliser des scripts par lots. Ces scripts sont conçus de manière à arrêter tous les outils et environnements susceptibles de détecter le ransomware ou d'empêcher son exécution.

La partie la plus inquiétante de ceci est que les nouveaux scripts batch ne sont pas des outils universels. Ils sont toujours conçus sur mesure pour cibler l'environnement réseau spécifique de la victime.

Les acteurs de la menace derrière les récentes attaques de Mount Locker utilisent également plusieurs serveurs CobaltStrike, chacun avec son propre domaine unique, ce qui entrave davantage la détection. Selon GuidePoint, cette approche n'est pas particulièrement courante car la quantité de travail nécessaire pour faire tout cliquer est importante.

Un grand nombre des récentes attaques utilisant Mount Locker visaient la biotechnologie. Ce secteur est particulièrement lucratif pour les hackers à la fois en raison des informations très sensibles qu'ils pourraient être en mesure de voler.

GuidePoint pense également qu'il y a une poussée orchestrée pour renommer la nouvelle version plus avancée de Mount Locker sous le nom d'AstroLocker. Dans le cas de Mount Locker, qui est exécuté en tant qu'opération ransomware-as-a-service, cela aurait beaucoup de sens.

April 26, 2021
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.