La operación de ransomware MountLocker ahora usa las API empresariales de Windows Active Directory para atravesar redes. MountLocker comenzó a operar en julio de 2020 como Ransomware-as-a-Service (RaaS) donde los desarrolladores están a cargo de programar el software de ransomware y el sitio de pago, y los afiliados son reclutados para piratear negocios y cifrar sus dispositivos.
Como parte de este acuerdo, el equipo central de MountLocker recibe una pequeña parte del 20-30% del pago de un rescate, mientras que el afiliado recibe el resto.
En marzo de 2021, surgió un nuevo grupo de ransomware grupal llamado 'Astro Locker' que comenzó a usar una versión personalizada del ransomware MountLocker con notas de rescate que apuntaban a sus propios sitios de pago y filtración de datos.
"No es un cambio de marca, probablemente podamos definirlo como una alianza", dijo Astro Locker a BleepingComputer cuando le preguntamos sobre su conexión con MountLocker.
Finalmente, en mayo de 2021, surgió un tercer grupo llamado 'XingLocker' que también usa un ejecutable de ransomware MountLocker personalizado.
MountLocker se abre camino a otros dispositivos
Esta semana, MalwareHunterTeam compartió una muestra de lo que se creía que era un nuevo ejecutable de MountLocker que contiene una nueva función de gusano que le permite propagarse y cifrarse a otros dispositivos en la red.
Después de instalar la muestra, BleepingComputer confirmó que era una muestra personalizada para el equipo de XingLocker.
Un breve análisis de BleepingComputer determinó que podría habilitar la función de gusano ejecutando la muestra de malware con el argumento de línea de comandos / NETWORK. Como esta función requiere un dominio de Windows, nuestras pruebas fallaron rápidamente, como se muestra a continuación.
Después de compartir la muestra con Vitali Kremez , CEO de Advanced Intel , se descubrió que MountLocker ahora usa la API de interfaces de servicio de Active Directory de Windows como parte de su función de gusano.
El ransomware primero usa la función NetGetDCName () para recuperar el nombre del controlador de dominio. Luego, realiza consultas LDAP contra los ADS del controlador de dominio utilizando la función ADsOpenObject () con las credenciales pasadas en la línea de comando.
0 Comentarios