Mount Locker勒索軟件越來越危險
安全研究人員報告說,Mount Locker勒索軟件正在使用新的危險工具擴展其武器庫。名為Mount Locker的勒索軟件已經流行了一段時間了,最早是在2020年9月成為頭條新聞。這隻老狗似乎正在學習新的花樣,並且正在經歷一些改頭換面,現在正在嘗試將自己更名為AstroLocker。
利用Mount Locker進行的新活動顯示了勒索軟件的更新和更高級的功能,包括增強的腳本和出色的反防護功能。在擴展功能的同時,Mount Locker現在也以AstroLocker的新名稱出現。
勒索軟件於9月在野外首次發現後,幾個月後就進行了一次重大更新,主要針對勒索軟件的目標能力。
擁有GuidePoint Security的研究人員稱這次最新的4月更新是Mount Locker工作方式的一次“積極轉變”。
Mount Locker濫用合法軟件和應用程序來實現其目標。其中包括目錄可視化工具和Telnet的替代客戶端。
一旦Mount Locker進入受害者的系統,它將首先處理所有備份,以防止數據恢復,然後聯繫其C2服務器以提供針對每個受害者定制的加密有效負載。
Mount Locker嘗試通過使用批處理腳本來避免在新廣告系列中進行某些檢測。這些腳本的設計旨在關閉可能檢測到勒索軟件或阻止其執行的所有工具和環境。
其中最令人擔憂的部分是,新的批處理腳本並非千篇一律的工具。它們始終是針對特定受害者網絡環境而定制的。
最近發生的Mount Locker攻擊背後的威脅參與者也一直在使用多台CobaltStrike服務器,每台服務器都有其自己的唯一域,這進一步阻礙了檢測。根據GuidePoint的說法,這種方法並不是特別常見,因為要使其全部點擊都需要大量的工作。
最近使用Mount Locker進行的許多攻擊都針對生物技術。由於黑客可能會竊取高度敏感的信息,因此該行業對黑客而言特別有利可圖。
GuidePoint還認為,有計劃地推動以AstroLocker的名義更名為Mount Locker的新的,更高級的版本進行品牌重塑。對於Mount Locker(作為勒索軟件即服務操作)運行,這很有意義。