Mount Locker勒索软件具备双重勒索功能

在公司网络上发生一系列漏洞之后,一种相对较新的勒索软件已经开发出新功能,使其能够扩大目标范围并逃避安全软件,并具有向被攻击者发起双重勒索攻击的能力。
MountLocker勒索软件加密之前窃取文件,要求数以百万计的赎金,以披露被盗数据作为威胁,这种策略被称为双重勒索。
BlackBerry Research and Intelligence Team的研究人员认为, MountLocker Operators显然正在升温。在7月的缓慢启动之后,由于勒索和数据泄漏的高调性质,赎金的要求越来越高, MountLocker迅速窃取敏感文档,并在几个小时内跨关键目标对其进行加密。
MountLocker还加入了其他勒索软件族群,例如Maze(上个月关闭了其业务),这些勒索软件在黑网上运营一个网站,并提供泄漏数据的链接。迄今为止,该勒索软件已经拥有五名受害者,研究人员怀疑该数字可能“更大”。
MountLocker作为勒索软件即服务(RaaS)的代表,在今年8月初针对瑞典安全公司Gunnebo进行攻击部署。该公司表示已成功挫败了勒索软件攻击,但策划入侵者最终于10月份在线发布了18 GB窃取的敏感文件,包括客户银行金库和监控系统的示意图。
现在,根据BlackBerry的分析,与MountLocker相关的联网络营销活动背后的威胁行动者利用远程桌面(RDP)和受攻击的凭据来获得受害者环境的初步立足点,随后部署执行该工具的工具网络侦察(AdFind),部署勒索软件并在网络中横向传播,并通过FTP上传关键数据。
勒索软件本身是轻量级且高效的。执行后,终止安全软件,使用ChaCha20密码触发加密,并创建赎金记录,其中包含Tor.onion URL的暗网链接,通过“暗网”聊天服务与犯罪分子联系以协商解密价格。
恶意软件使用嵌入式RSA-2048公钥对加密密钥进行加密,删除卷影副本以阻止加密文件的恢复,并最终从磁盘中删除自身以隐藏其轨迹。
研究人员指出,勒索软件使用一种称为GetTickCount API的加密不安全方法来生成可能容易受到蛮力攻击的密钥。但MountLocker的加密目标列表非常广泛,支持超过2600个文件扩展名,涵盖数据库、文档、档案、图像、记账软件、安全软件、源代码、游戏和备份。可执行文件(如.exe,.dll和.sys)保持不变。
11月下旬发现的MountLocker的新变体(称为“版本2”)更进一步,通过删除要包含在加密中的扩展名列表,而采用了精益排除列表:.exe、.dll、.sys、.msi 、.mui、.inf、.cat、.bat、.cmd、.ps1、.vbs、.ttf、.fon和.lnk。
研究人员总结说,自成立以来,MountLocker小组就可以扩展和改善其服务和恶意软件,该小组能够在短期内继续发展并日益突出。
(0)

相关推荐