A Mount Locker Ransomware egyre veszélyesebbé válik
A biztonsági kutatók arról számolnak be, hogy a Mount Locker ransomware új és veszélyes eszközökkel bővíti arzenálját. A Mount Locker néven elterjedt ransomware egy ideje már a vadonban van, és először 2020 szeptemberében került fel a hírekbe. Úgy tűnik, hogy az öreg kutya új trükköket tanul, és kissé megújul, és most próbálkozik hogy AstroLocker néven változtassa meg a márkanevet.
A Mount Locker-t használó új kampányokban megjelentek a ransomware frissített és fejlettebb szolgáltatásai, beleértve a továbbfejlesztett parancsfájlokat és a kiemelkedő anti-prevenciós képességeket. Funkcióinak bővítésével párhuzamosan a Mount Locker mostantól új néven, AstroLocker néven is megjelenik.
Miután szeptemberben először észrevette a vadonban, a ransomware néhány hónappal később egy jelentős frissítést kapott, elsősorban a ransomware célzási képességeire irányul.
A GuidePoint Security kutatói ezt az utolsó áprilisi frissítést "agresszív elmozdulásnak" nevezik a Mount Locker működésében.
A Mount Locker visszaél a törvényes szoftverekkel és alkalmazásokkal céljainak elérése érdekében. Ezek közé tartozik egy könyvtármegjelenítő eszköz és egy helyettesítő kliens a Telnet számára.
Miután a Mount Locker eljutott az áldozat rendszerén, először az esetleges biztonsági másolatokkal foglalkozik, hogy megakadályozza az adatok helyreállítását, majd felveszi a kapcsolatot a C2 szerverével, hogy átadja az egyes áldozatokra szabott titkosítási hasznos terhet.
A Mount Locker megkísérli elkerülni bizonyos észlelési rétegeket új kampányában kötegelt szkriptek használatával. Ezeket a szkripteket úgy tervezték, hogy kikapcsoljanak minden olyan eszközt és környezetet, amely észlelheti a ransomware programot, vagy megakadályozhatja annak végrehajtását.
Ennek a legaggasztóbb része, hogy az új kötegelt szkriptek nem egy mindenki számára használható eszközök. Mindig egyedi tervezésűek, hogy az áldozat sajátos hálózati környezetét célozzák meg.
A közelmúltbeli Mount Locker támadások mögött álló fenyegetett szereplők több CobaltStrike szervert is használtak, amelyek mindegyikének megvan a maga egyedi tartománya, ami tovább akadályozza az észlelést. A GuidePoint szerint ez a megközelítés nem különösebben elterjedt, mert jelentős az a munka, amely az egészet kattintássá teszi.
A Mount Locker segítségével a közelmúltban elkövetett támadások közül sok a biotechnológiára irányult. Ez az ágazat különösen jövedelmező a hackerek számára mind a rendkívül érzékeny információk miatt, amelyeket ellopni tudnak.
A GuidePoint úgy véli továbbá, hogy van egy összehangolt lökés a Mount Locker új, fejlettebb verziójának AstroLocker néven történő márkajelzésére. A Mount Locker esetében, amelyet ransomware-as-a-service műveletként futtatnak, ennek sok értelme lenne.