Mount Locker Ransomware wordt gevaarlijker

Beveiligingsonderzoekers melden dat de Mount Locker-ransomware zijn arsenaal uitbreidt met nieuwe en gevaarlijke tools. De ransomware met de naam Mount Locker bestaat al een tijdje in het wild en haalde voor het eerst de krantenkoppen in september 2020. De oude hond leert nieuwe trucs, zo lijkt het, en krijgt een beetje een opknapbeurt, nu probeert hij om zichzelf te hernoemen als AstroLocker.

Nieuwe campagnes die Mount Locker gebruiken, hebben de bijgewerkte en meer geavanceerde functies van de ransomware getoond, waaronder verbeterde scripting en superieure antipreventie-mogelijkheden. Gelijktijdig met het uitbreiden van zijn functies, verschijnt Mount Locker nu ook onder de nieuwe naam AstroLocker.

Na de eerste ontdekking in het wild in september, kreeg de ransomware een paar maanden later een belangrijke update, voornamelijk gericht op de targetingmogelijkheden van de ransomware.

Onderzoekers met GuidePoint Security noemen deze laatste update van april een "agressieve verschuiving" in de manier waarop Mount Locker werkt.

Mount Locker maakt misbruik van legitieme software en applicaties om zijn doelen te bereiken. Die omvatten een directory-visualisatietool en een vervangende client voor Telnet.

Zodra Mount Locker zijn weg naar het systeem van het slachtoffer heeft gevonden, behandelt het eerst eventuele back-ups om gegevensherstel te voorkomen en neemt vervolgens contact op met de C2-server om de coderingspayload te leveren, aangepast voor elk slachtoffer.

De manier waarop Mount Locker bepaalde detectielagen probeert te vermijden in zijn nieuwe campagne, is door batch-scripts te gebruiken. Die scripts zijn zo ontworpen dat ze alle tools en omgevingen willen afsluiten die de ransomware kunnen detecteren of de uitvoering ervan kunnen verhinderen.

Het meest verontrustende hiervan is dat de nieuwe batch-scripts geen one-size-fits-all tools zijn. Ze zijn altijd op maat gemaakt om zich te richten op de specifieke netwerkomgeving van het slachtoffer.

Dreigingsactoren achter recente Mount Locker-aanvallen hebben ook verschillende CobaltStrike-servers gebruikt, elk met zijn eigen unieke domein, wat detectie verder belemmert. Volgens GuidePoint is deze aanpak niet bijzonder gebruikelijk, omdat de hoeveelheid werk die nodig is om alles te laten klikken aanzienlijk is.

Veel van de recente aanvallen met Mount Locker waren gericht tegen biotech. Deze sector is bijzonder lucratief voor hackers, zowel vanwege de zeer gevoelige informatie die ze mogelijk kunnen stelen.

GuidePoint gelooft ook dat er een georkestreerde push is om de nieuwe, meer geavanceerde versie van Mount Locker onder de naam AstroLocker te hernoemen. In het geval van Mount Locker, dat wordt uitgevoerd als ransomware-as-a-service-bewerking, zou dit heel logisch zijn.