Mount Locker Ransomware

ransomware Security

Mount Locker ransomware - программа-вымогатель, появившаяся на рынке вымогательского ПО как услуга во второй половине 2020 года, в ноябре группа выпустила крупное обновление, которое расширило ее целевые возможности (включая поиск расширений файлов, используемых программой TurboTax для возврата налогов, для шифрования). В обновлении также улучшена система уклонения от обнаружения.

Mount Locker ransomware

Как и многие другие группировки, использующие вымогательское ПО, операторы не только блокируют файлы, но и крадут данные и угрожают их утечкой в случае неуплаты выкупа, что представляет собой двойное вымогательство. Они также известны тем, что требуют многомиллионные выкупы и похищают особенно большие объемы данных (до 400 Гб).

 

Mount Locker

Скриншот сообщения, призывающего пользователей заплатить выкуп за расшифровку скомпрометированных данных

С точки зрения технического подхода, Mount Locker использует готовые легальные инструменты для горизонтального перемещения, кражи файлов и внедрения шифрования. Это включает использование AdFind и Bloodhound для разведки Active Directory и пользователей; FTP для эксфильтрации файлов; и инструмент для пен-тестирования CobaltStrike для горизонтального перемещения и доставки и выполнения шифрования, возможно, через psExec.

После маппинга среды, выявления и нейтрализации резервных систем и сбора данных системы шифруются с помощью специфических для конкретной цели программ-выкупов, передаваемых по установленным каналам командования и управления (C2). Эти полезные нагрузки включают исполняемые файлы, расширения и уникальные идентификаторы жертвы для оплаты. В последних кампаниях появились новые пакетные скрипты. Они предназначены для отключения средств обнаружения и предотвращения.

Еще одним изменением в тактике группы стало использование нескольких серверов CobaltStrike с уникальными доменами. Это дополнительный шаг, который помогает уклониться от обнаружения, но  он встречается нечасто, поскольку для его эффективного применения на практике требуется гораздо больше управления.

Изменения сопровождались ростом числа атак Mount Locker, особенно тех, которые направлены на компании, работающие в сфере биологических технологий. Всплеск инцидентов в этом сегменте указывает на то, что, возможно, ведется более масштабная кампания, направленная на отрасли, связанные со здравоохранением.

Биотехнологические компании, в частности, являются главной мишенью для программ-выкупов, поскольку они работают в отрасли, где есть не только деньги, но и очень чувствительная интеллектуальная собственность.

Indicators of Compromise

IPv4

  • 31.13.93.35
  • 31.13.93.174
  • 52.204.190.157
SEC-1275-1
Добавить комментарий