Mount Locker Ransomware blir farligare

Säkerhetsforskare rapporterar att Mount Locker-ransomware expanderar sin arsenal med nya och farliga verktyg. Ransomware som går under namnet Mount Locker har funnits runt och i naturen ett tag nu, först först i rubriker i september 2020. Den gamla hunden lär sig nya knep, verkar det och blir lite ansiktslyftning, nu försöker att byta namn på AstroLocker.

Nya kampanjer som använder Mount Locker har visat ransomwares uppdaterade och mer avancerade funktioner, inklusive förbättrad skriptning och överlägsen anti-förebyggande funktioner. Samtidigt med att dess funktioner utökas dyker Mount Locker nu också upp under det nya namnet AstroLocker.

Efter sin första upptäckt i naturen tillbaka i september fick ransomware en betydande uppdatering ett par månader senare, främst inriktad på ransomware's inriktningsförmåga.

Forskare med GuidePoint Security kallar den senaste apriluppdateringen för ett "aggressivt skifte" i hur Mount Locker fungerar.

Mount Locker missbrukar legitim programvara och applikationer för att uppnå sina mål. Dessa inkluderar ett verktyg för katalogvisualisering och en ersättningsklient för Telnet.

När Mount Locker har kommit fram på offrets system, hanterar den eventuella säkerhetskopior först, för att förhindra återställning av data och kontaktar sedan sin C2-server för att leverera krypteringslasten, anpassad för varje offer.

Sättet Mount Locker försöker undvika vissa identifieringslager i sin nya kampanj är att använda batch-skript. Dessa skript är utformade på ett sätt som syftar till att stänga av alla verktyg och miljöer som kan upptäcka ransomware eller förhindra dess körning.

Den mest oroande delen av detta är att de nya batch-skripten inte är verktyg som passar alla. De är alltid specialbyggda för att rikta sig till offrets specifika nätverksmiljö.

Hotaktörer bakom senaste Mount Locker-attacker har också använt flera CobaltStrike-servrar, var och en med sin egen unika domän, vilket ytterligare hindrar upptäckt. Enligt GuidePoint är detta tillvägagångssätt inte särskilt vanligt eftersom mängden arbete som är involverat för att få allt att klicka är betydande.

Många av de senaste attackerna med Mount Locker har riktats mot bioteknik. Denna sektor är särskilt lukrativ för hackare både på grund av den mycket känsliga informationen de kanske kan stjäla.

GuidePoint anser också att det finns en orkestrerad push för att ommärka den nya, mer avancerade versionen av Mount Locker under namnet AstroLocker. När det gäller Mount Locker, som körs som ransomware-as-a-service-operation, skulle det vara mycket meningsfullt.