Mount Locker Ransomware

El ransomware Mount Locker ha revolucionado las cosas en campañas recientes con funciones de scripting y anti-prevención más sofisticadas, según los investigadores. Y el cambio de táctica parece coincidir con un cambio de marca del malware a “AstroLocker”.

Según los investigadores, Mount Locker ha sido una amenaza en rápido movimiento. Habiendo llegado a la escena del ransomware como servicio en la segunda mitad de 2020, el grupo lanzó una actualización importante en noviembre que amplió sus capacidades de orientación (incluida la búsqueda de extensiones de archivo utilizadas por el software de devolución de impuestos TurboTax para cifrar). También agregó una evasión de detección mejorada. Los ataques han seguido aumentando, y ahora, otra actualización importante indica “un cambio agresivo en las tácticas de Mount Locker”.

Como muchas bandas de ransomware, los operadores no solo bloquean archivos, sino que también roban datos y amenazan con filtrarlos si no se paga el rescate, en una táctica de doble extorsión . También son conocidos por exigir rescates multimillonarios y robar cantidades especialmente grandes de datos (hasta 400 GB).

En términos de enfoque técnico, Mount Locker utiliza herramientas legítimas listas para usar para moverse lateralmente, robar archivos e implementar cifrado, señaló GuidePoint. Esto incluye el uso de AdFind y Bloodhound para Active Directory y reconocimiento de usuarios; FTP para la exfiltración de archivos; y la herramienta de prueba de lápiz CobaltStrike para el movimiento lateral y la entrega y ejecución de cifrado, potencialmente a través de psExec.

Como muchas bandas de ransomware, los operadores no solo bloquean archivos, sino que también roban datos y amenazan con filtrarlos si no se paga el rescate, en una táctica de doble extorsión . También son conocidos por exigir rescates multimillonarios y robar cantidades especialmente grandes de datos (hasta 400 GB).

En términos de enfoque técnico, Mount Locker utiliza herramientas legítimas listas para usar para moverse lateralmente, robar archivos e implementar cifrado, señaló GuidePoint. Esto incluye el uso de AdFind y Bloodhound para Active Directory y reconocimiento de usuarios; FTP para la exfiltración de archivos; y la herramienta de prueba de lápiz CobaltStrike para el movimiento lateral y la entrega y ejecución de cifrado, potencialmente a través de psExec.

MountLocker también se une a otras familias de ransomware como Maze que opera un sitio web en la web oscura para nombrar y avergonzar a las víctimas y proporcionar enlaces a datos filtrados.

Hasta la fecha, el ransomware se ha cobrado cinco víctimas, aunque los investigadores sospechan que el número podría ser “mucho mayor”.

Ofrecido como Ransomware-as-a-Service (RaaS), MountLocker se implementó notablemente a principios de agosto contra la empresa de seguridad sueca Gunnebo.

Aunque la compañía dijo que había frustrado con éxito el ataque de ransomware, los delincuentes que orquestaron la intrusión terminaron robando y publicando en línea 18 gigabytes de documentos confidenciales , incluidos esquemas de bóvedas de bancos de clientes y sistemas de vigilancia.

Entradas relacionadas

Dejar un Comentario