Mount Locker išpirkos programa tampa vis pavojingesnė

Saugumo tyrėjai praneša, kad „Mount Locker“ išpirkos programa plečia savo arsenalą naujais ir pavojingais įrankiais. „Mount Locker“ pavadinimu išpirkta išpirkos programa jau kurį laiką buvo laukinėje gamtoje ir pirmą kartą pasirodė antraštėse 2020 m. Rugsėjo mėn. Atrodo, kad senas šuo mokosi naujų gudrybių ir šiek tiek patobulina veidą, dabar bando pervardyti save kaip „AstroLocker“.

Naujose kampanijose, kuriose naudojamas „Mount Locker“, buvo parodytos išpirkos programinės įrangos atnaujintos ir pažangesnės funkcijos, įskaitant patobulintus scenarijus ir puikias kovos su prevencija galimybes. Kartu su savo funkcijų išplėtimu „Mount Locker“ dabar taip pat rodomas nauju „AstroLocker“ pavadinimu.

Po pirminio pastebėjimo laukinėje gamtoje rugsėjo mėn., Po kelių mėnesių išpirkos programa gavo vieną reikšmingą atnaujinimą, daugiausia nukreiptą į išpirkos programos taikymo galimybes.

Tyrėjai, turintys „GuidePoint Security“, šį naujausią balandžio mėnesio atnaujinimą vadina „agresyviu poslinkiu“, kaip veikia „Mount Locker“.

„Mount Locker“ piktnaudžiauja teisėta programine įranga ir programomis, kad pasiektų savo tikslus. Tai apima katalogų vizualizavimo įrankį ir pakaitinį „Telnet“ klientą.

Kai „Mount Locker“ pateks į aukos sistemą, pirmiausia susidoros su bet kokiomis atsarginėmis kopijomis, kad būtų išvengta duomenų atkūrimo, tada susisiekia su savo C2 serveriu, kad pristatytų kiekvienam aukai pritaikytą šifravimo naudingąją apkrovą.

„Mount Locker“ bando išvengti tam tikrų aptikimo sluoksnių naujoje kampanijoje naudodamas paketinius scenarijus. Šie scenarijai sukurti taip, kad būtų uždaryti visi įrankiai ir aplinka, kurie gali aptikti išpirkos programą arba neleisti ją vykdyti.

Labiausiai nerimą kelia tai, kad naujieji paketiniai scenarijai nėra visiems tinkami įrankiai. Jie visada gaminami pagal užsakymą, kad būtų pritaikyti konkrečiai aukos tinklo aplinkai.

Neseniai įvykusių „Mount Locker“ atakų grėsmės veikėjai taip pat naudojo kelis „CobaltStrike“ serverius, kurių kiekvienas turi savo unikalų domeną, o tai dar labiau trukdo aptikti. Pasak „GuidePoint“, šis požiūris nėra ypač įprastas, nes darbo, kurį reikia atlikti, kad viskas paspaustų, skaičius yra didelis.

Daugybė pastarųjų išpuolių naudojant „Locker“ kalną buvo nukreipti į biotechnologijas. Šis sektorius yra ypač pelningas įsilaužėliams dėl labai jautrios informacijos, kurią jie gali pavogti.

„GuidePoint“ taip pat mano, kad yra suderintas postūmis pakeisti naują, pažangesnę „Mount Locker“ versiją „AstroLocker“ vardu. „Mount Locker“ atveju, kuris vykdomas kaip „ransomware-as-a-service“ operacija, tai būtų labai prasminga.