Mount Locker Ransomware blir farligere

Sikkerhetsforskere rapporterer at Mount Locker ransomware utvider sitt arsenal med nye og farlige verktøy. Ransomware med navnet Mount Locker har eksistert og i naturen en stund nå, først med overskrifter i september 2020. Den gamle hunden lærer nye triks, ser det ut til, og får litt ansiktsløftning, prøver nå å merke seg som AstroLocker.

Nye kampanjer som bruker Mount Locker, har vist ransomwarens oppdaterte og mer avanserte funksjoner, inkludert forbedret skripting og overlegne antiforebyggende evner. Samtidig med utvidelse av funksjonene, vises Mount Locker nå også under det nye navnet AstroLocker.

Etter den første oppdagelsen i naturen tilbake i september, fikk ransomware en betydelig oppdatering et par måneder senere, hovedsakelig rettet mot ransomware's målrettingsevne.

Forskere med GuidePoint Security kaller denne siste oppdateringen i april for et "aggressivt skifte" i måten Mount Locker fungerer på.

Mount Locker misbruker legitim programvare og applikasjoner for å nå sine mål. Disse inkluderer et katalogvisualiseringsverktøy og en erstatningsklient for Telnet.

Når Mount Locker har gjort veien på offerets system, håndterer den eventuelle sikkerhetskopier først, for å forhindre datagjenoppretting, og kontakter deretter C2-serveren for å levere krypteringsnyttelasten, tilpasset hvert offer.

Måten Mount Locker prøver å unngå visse gjenkjenningslag i sin nye kampanje, er å bruke batch-skript. Disse skriptene er designet på en måte som tar sikte på å stenge ned verktøy og miljøer som kan oppdage løsepenger eller forhindre at den kjøres.

Den mest bekymringsfulle delen av dette er at de nye batch-skriptene ikke er verktøy for alle størrelser. De er alltid spesialbygde for å målrette mot det spesifikke nettverksmiljøet til offeret.

Trusselaktører bak nylige Mount Locker-angrep har også brukt flere CobaltStrike-servere, hver med sitt eget unike domene, noe som ytterligere hindrer deteksjon. Ifølge GuidePoint er denne tilnærmingen ikke spesielt vanlig fordi mengden arbeid som er involvert for å få det hele til å klikke er betydelig.

Mange av de nylige angrepene med Mount Locker har vært rettet mot bioteknologi. Denne sektoren er spesielt lukrativ for hackere både på grunn av den svært sensitive informasjonen de kanskje kan stjele.

GuidePoint mener også det er et orkestrert trykk for å merke den nye, mer avanserte versjonen av Mount Locker under navnet AstroLocker. Når det gjelder Mount Locker, som kjøres som ransomware-as-a-service-operasjon, vil dette være veldig fornuftig.