Mount Locker Ransomware staje się coraz bardziej niebezpieczne

Badacze bezpieczeństwa donoszą, że ransomware Mount Locker rozszerza swój arsenał o nowe i niebezpieczne narzędzia. Ransomware o nazwie Mount Locker jest już od jakiegoś czasu w dziczy, po raz pierwszy pojawiając się na pierwszych stronach gazet we wrześniu 2020 r. Stary pies uczy się nowych sztuczek, wydaje się, i przechodzi trochę liftingu, teraz próbuje przemianować się na AstroLocker.

W nowych kampaniach wykorzystujących Mount Locker pojawiły się zaktualizowane i bardziej zaawansowane funkcje oprogramowania ransomware, w tym ulepszone skrypty i doskonałe możliwości zapobiegania. Równocześnie z rozszerzaniem swoich funkcji, Mount Locker pojawia się teraz również pod nową nazwą AstroLocker.

Po pierwszym wykryciu w środowisku naturalnym we wrześniu, oprogramowanie ransomware otrzymało jedną znaczącą aktualizację kilka miesięcy później, głównie skierowaną na możliwości kierowania przez oprogramowanie ransomware.

Badacze z GuidePoint Security nazywają tę ostatnią kwietniową aktualizację „agresywną zmianą” w sposobie działania Mount Locker.

Mount Locker nadużywa legalnego oprogramowania i aplikacji, aby osiągnąć swoje cele. Obejmują one narzędzie do wizualizacji katalogów i klienta zastępczego dla usługi Telnet.

Gdy Mount Locker trafi do systemu ofiary, najpierw zajmuje się wszelkimi kopiami zapasowymi, aby zapobiec odzyskaniu danych, a następnie kontaktuje się z serwerem C2, aby dostarczyć ładunek szyfrujący dostosowany do każdej ofiary.

Sposób, w jaki Mount Locker próbuje uniknąć pewnych warstw wykrywania w swojej nowej kampanii, polega na użyciu skryptów wsadowych. Te skrypty są zaprojektowane w sposób, który ma na celu wyłączenie wszelkich narzędzi i środowisk, które mogą wykryć oprogramowanie ransomware lub uniemożliwić jego wykonanie.

Najbardziej niepokojące jest to, że nowe skrypty wsadowe nie są uniwersalnymi narzędziami. Są zawsze tworzone na zamówienie, aby były ukierunkowane na określone środowisko sieciowe ofiary.

Podmioty zagrażające niedawnym atakom Mount Locker również korzystały z kilku serwerów CobaltStrike, z których każdy miał własną unikalną domenę, co dodatkowo utrudnia wykrycie. Według GuidePoint takie podejście nie jest szczególnie powszechne, ponieważ nakład pracy wymaganej do uzyskania kliknięcia jest znaczny.

Wiele ostatnich ataków przy użyciu Mount Locker było wymierzonych w biotechnologię. Sektor ten jest szczególnie lukratywny dla hakerów, zarówno ze względu na bardzo wrażliwe informacje, które mogą ukraść.

GuidePoint uważa również, że istnieje zorganizowany nacisk na zmianę marki nowej, bardziej zaawansowanej wersji Mount Locker pod nazwą AstroLocker. W przypadku programu Mount Locker, który jest uruchamiany jako operacja ransomware-as-a-service, miałoby to dużo sensu.