Mount Locker Ransomware está ficando mais perigoso
Os pesquisadores de segurança estão relatando que o ransomware Mount Locker está expandindo seu arsenal com ferramentas novas e perigosas. O ransomware que atende pelo nome de Mount Locker já existe há um certo tempo, primeiro fazendo manchetes em setembro de 2020. O velho cachorro está aprendendo novos truques, ao que parece, e está passando por uma reforma, agora tentando para se renomear como AstroLocker.
Novas campanhas utilizando Mount Locker exibiram os recursos atualizados e mais avançados do ransomware, incluindo scripts aprimorados e recursos anti-prevenção superiores. Simultaneamente com a expansão de seus recursos, o Mount Locker também está aparecendo com o novo nome de AstroLocker.
Após sua detecção inicial em setembro, o ransomware recebeu uma atualização significativa alguns meses depois, principalmente direcionada às habilidades de direcionamento do ransomware.
Os pesquisadores da GuidePoint Security estão chamando esta última atualização de abril de uma "mudança agressiva" na forma como o Mount Locker funciona.
A Mount Locker abusa de softwares e aplicativos legítimos para atingir seus objetivos. Isso inclui uma ferramenta de visualização de diretório e um cliente substituto para o Telnet.
Depois que o Mount Locker chega ao sistema da vítima, ele lida com todos os backups primeiro, para evitar a recuperação de dados, e então entra em contato com seu servidor C2 para entregar a carga de criptografia personalizada para cada vítima.
A maneira como a Mount Locker está tentando evitar certas camadas de detecção em sua nova campanha é usando scripts em lote. Esses scripts são projetados de forma a desligar quaisquer ferramentas e ambientes que possam detectar o ransomware ou impedir sua execução.
A parte mais preocupante disso é que os novos scripts em lote não são ferramentas de tamanho único. Eles são sempre personalizados para atingir o ambiente de rede específico da vítima.
Os agentes de ameaças por trás dos ataques recentes do Mount Locker também usam vários servidores CobaltStrike, cada um com seu próprio domínio exclusivo, o que dificulta ainda mais a detecção. De acordo com a GuidePoint, essa abordagem não é particularmente comum porque a quantidade de trabalho envolvida para fazer com que tudo dê certo é significativa.
Muitos dos ataques recentes usando o Mount Locker foram direcionados à biotecnologia. Este setor é particularmente lucrativo para hackers devido às informações altamente confidenciais que eles podem roubar.
A GuidePoint também acredita que há um esforço orquestrado para reformular a nova e mais avançada versão do Mount Locker com o nome de AstroLocker. No caso do Mount Locker, que é executado como uma operação de ransomware como serviço, isso faria muito sentido.