Mount Locker Ransomware ofrece un esquema de doble extorsión a otros ciberdelincuentes

Una variedad de ransomware relativamente nueva detrás de una serie de brechas en las redes corporativas ha desarrollado nuevas capacidades que le permiten ampliar el alcance de su focalización y evadir el software de seguridad, así como la capacidad de sus afiliados para lanzar ataques de doble extorsión.

El ransomware MountLocker, que recién comenzó a circular en julio de 2020, ya ha ganado notoriedad por robar archivos antes del cifrado y exigir cantidades de rescate para evitar la divulgación pública de datos robados, una táctica conocida como doble extorsión .

"Los operadores de MountLocker claramente se están calentando. Después de un comienzo lento en julio, están ganando terreno rápidamente, ya que la naturaleza de alto perfil de la extorsión y las filtraciones de datos aumentan las demandas de rescate", dijeron investigadores del equipo de investigación e inteligencia de BlackBerry .

"Los afiliados de MountLocker suelen ser operadores rápidos, que filtran rápidamente documentos confidenciales y los cifran en objetivos clave en cuestión de horas".

MountLocker también se une a otras familias de ransomware como Maze (que cerró sus operaciones el mes pasado) que opera un sitio web en la web oscura para nombrar y avergonzar a las víctimas y proporcionar enlaces a datos filtrados.

Hasta la fecha, el ransomware se ha cobrado cinco víctimas, aunque los investigadores sospechan que el número podría ser "mucho mayor".

Ofrecido como Ransomware-as-a-Service (RaaS), MountLocker se implementó notablemente a principios de agosto contra la firma de seguridad sueca Gunnebo.

Aunque la compañía dijo que había frustrado con éxito el ataque de ransomware, los delincuentes que organizaron la intrusión terminaron robando y publicando en línea 18 gigabytes de documentos confidenciales , incluidos esquemas de bóvedas de bancos de clientes y sistemas de vigilancia, en octubre.

Ahora, según el análisis de BlackBerry, los actores de amenazas detrás de las campañas de afiliados relacionadas con MountLocker aprovecharon el escritorio remoto (RDP) con credenciales comprometidas para obtener un punto de apoyo inicial en el entorno de la víctima, algo que también se observó en el hack de Gunnebo, y posteriormente implementar herramientas para llevar a cabo reconocimiento de red (AdFind), implementar el ransomware y distribuir lateralmente a través de la red, y exfiltrar datos críticos a través de FTP.

El ransomware en sí mismo es liviano y eficiente. Tras la ejecución, procede a finalizar el software de seguridad, activar el cifrado mediante el cifrado ChaCha20 y crear una nota de rescate, que contiene un enlace a una URL Tor .onion para contactar a los delincuentes a través de un servicio de chat de "web oscura" para negociar un precio por descifrar software.

También utiliza una clave pública RSA-2048 incorporada para cifrar la clave de cifrado, elimina instantáneas de volumen para frustrar la restauración de los archivos cifrados y, finalmente, se elimina del disco para ocultar sus pistas.

Los investigadores, sin embargo, señalan que el ransomware usa un método criptográficamente inseguro llamado API GetTickCount para una generación de claves que puede ser susceptible a un ataque de fuerza bruta.

La lista de objetivos de cifrado de MountLocker es extensa, con soporte para más de 2600 extensiones de archivos que abarcan bases de datos, documentos, archivos, imágenes, software de contabilidad, software de seguridad, código fuente, juegos y copias de seguridad. Los archivos ejecutables como .exe, .dll y .sys no se modifican.

Eso no es todo. Una nueva variante de MountLocker descubierta a fines de noviembre (denominada "versión 2") va un paso más allá al eliminar la lista de extensiones que se incluirán para el cifrado a favor de una lista de exclusión ajustada: .exe, .dll, .sys, .msi , .mui, .inf, .cat, .bat, .cmd, .ps1, .vbs, .ttf, .fon y .lnk.

"Desde sus inicios, se ha visto que el grupo MountLocker expande y mejora sus servicios y malware", concluyeron los investigadores. "Si bien sus capacidades actuales no son particularmente avanzadas, esperamos que este grupo continúe desarrollándose y creciendo en prominencia en el corto plazo".

Fuente: https://thehackernews.com/

No olvides Compartir...  

Siguenos en twitter: @disoftin - @fredyavila

Publicar un comentario

0 Comentarios