Mount Locker Ransomware sta diventando più pericoloso

I ricercatori di sicurezza stanno segnalando che il ransomware Mount Locker sta espandendo il suo arsenale con strumenti nuovi e pericolosi. Il ransomware chiamato Mount Locker è in circolazione da un po 'di tempo ormai, facendo notizia per la prima volta nel settembre 2020. Il vecchio cane sta imparando nuovi trucchi, a quanto pare, e sta ottenendo un po' di lifting, ora ci sta provando per rinominare se stesso come AstroLocker.

Le nuove campagne che utilizzano Mount Locker hanno mostrato le funzionalità aggiornate e più avanzate del ransomware, tra cui scripting potenziato e capacità anti-prevenzione superiori. Contemporaneamente all'espansione delle sue funzionalità, Mount Locker ora si presenta anche con il nuovo nome di AstroLocker.

Dopo il suo primo avvistamento in natura a settembre, il ransomware ha ricevuto un aggiornamento significativo un paio di mesi dopo, principalmente diretto alle capacità di targeting del ransomware.

I ricercatori di GuidePoint Security definiscono questo ultimo aggiornamento di aprile un "cambiamento aggressivo" nel modo in cui funziona Mount Locker.

Mount Locker abusa di software e applicazioni legittime per raggiungere i suoi obiettivi. Questi includono uno strumento di visualizzazione delle directory e un client sostitutivo per Telnet.

Una volta che Mount Locker si è fatto strada sul sistema della vittima, si occupa prima di eventuali backup, per impedire il ripristino dei dati, quindi contatta il suo server C2 per fornire il payload di crittografia, personalizzato per ciascuna vittima.

Il modo in cui Mount Locker sta cercando di evitare determinati livelli di rilevamento nella sua nuova campagna è utilizzando script batch. Questi script sono progettati in un modo che mira a chiudere tutti gli strumenti e gli ambienti che potrebbero rilevare il ransomware o impedirne l'esecuzione.

La parte più preoccupante di questo è che i nuovi script batch non sono strumenti validi per tutti. Sono sempre costruiti su misura per mirare all'ambiente di rete specifico della vittima.

Gli autori delle minacce dietro i recenti attacchi di Mount Locker hanno anche utilizzato diversi server CobaltStrike, ciascuno con il proprio dominio univoco, che ostacola ulteriormente il rilevamento. Secondo GuidePoint, questo approccio non è particolarmente comune perché la quantità di lavoro necessaria per fare clic su tutto è significativa.

Molti dei recenti attacchi con Mount Locker sono stati mirati alle biotecnologie. Questo settore è particolarmente redditizio per gli hacker sia a causa delle informazioni altamente sensibili che potrebbero essere in grado di rubare.

GuidePoint ritiene inoltre che ci sia una spinta orchestrata per rinominare la nuova versione più avanzata di Mount Locker con il nome di AstroLocker. Nel caso di Mount Locker, che viene eseguito come operazione ransomware-as-a-service, ciò avrebbe molto senso.