Mount Locker勒索软件越来越危险

安全研究人员报告说，Mount Locker勒索软件正在使用新的危险工具扩展其武器库。名为Mount Locker的勒索软件已经流行了一段时间了，最早是在2020年9月成为头条新闻。这只老狗似乎正在学习新的花样，并且正在经历一些改头换面，现在正在尝试将自己更名为AstroLocker。

利用Mount Locker进行的新活动显示了勒索软件的更新和更高级的功能，包括增强的脚本功能和出色的反防护功能。在扩展功能的同时，Mount Locker现在也以新名称AstroLocker出现。

勒索软件于9月份在野外首次发现后，几个月后就进行了一次重大更新，主要针对勒索软件的目标能力。

拥有GuidePoint Security的研究人员称这次最新的4月更新是Mount Locker工作方式的一次“积极转变”。

Mount Locker滥用合法软件和应用程序来实现其目标。其中包括目录可视化工具和Telnet的替代客户端。

一旦Mount Locker进入受害者的系统，它将首先处理所有备份，以防止数据恢复，然后联系其C2服务器以提供针对每个受害者定制的加密有效负载。

Mount Locker尝试通过使用批处理脚本来避免在新广告系列中进行某些检测。这些脚本的设计旨在关闭可能检测到勒索软件或阻止其执行的所有工具和环境。

其中最令人担忧的部分是，新的批处理脚本并非千篇一律的工具。它们始终是针对特定受害者网络环境而定制的。

最近发生的Mount Locker攻击背后的威胁参与者也一直在使用多台CobaltStrike服务器，每台服务器都有其自己的唯一域，这进一步阻碍了检测。根据GuidePoint的说法，这种方法并不是特别常见，因为要使其全部点击都需要大量的工作。

最近使用Mount Locker进行的许多攻击都针对生物技术。由于黑客可能会窃取高度敏感的信息，因此该行业对黑客而言特别有利可图。

GuidePoint还认为，有计划地推动以AstroLocker的名义更名为Mount Locker的新的，更高级的版本进行品牌重塑。对于Mount Locker（作为勒索软件即服务操作）运行，这很有意义。