マウントロッカーランサムウェアはますます危険になっています

セキュリティ研究者は、MountLockerランサムウェアが新しく危険なツールで武器を拡大していると報告しています。 Mount Lockerという名前のランサムウェアは、しばらくの間、世の中に出回っていて、2020年9月に最初に話題になりました。老犬は新しいトリックを学んでいるようです。 AstroLockerとしてブランド名を変更します。

Mount Lockerを利用した新しいキャンペーンでは、強化されたスクリプトや優れた予防機能など、ランサムウェアの更新されたより高度な機能が表示されています。機能の拡張と同時に、MountLockerもAstroLockerという新しい名前で表示されます。

9月に最初に野生で発見された後、ランサムウェアは2、3か月後に、主にランサムウェアのターゲティング機能に向けられた1つの重要な更新を取得しました。

GuidePoint Securityの研究者は、この最新の4月の更新を、MountLockerの動作方法における「積極的なシフト」と呼んでいます。

Mount Lockerは、正当なソフトウェアとアプリケーションを悪用して、その目標を達成します。これらには、ディレクトリ視覚化ツールとTelnetの代替クライアントが含まれます。

Mount Lockerが被害者のシステムに侵入すると、データの回復を防ぐために最初にバックアップを処理し、次にC2サーバーに接続して、被害者ごとにカスタマイズされた暗号化ペイロードを配信します。

Mount Lockerが新しいキャンペーンで特定の検出レイヤーを回避しようとする方法は、バッチスクリプトを使用することです。これらのスクリプトは、ランサムウェアを検出したり、その実行を妨害したりする可能性のあるツールや環境をシャットダウンすることを目的とした方法で設計されています。

これの最も心配な部分は、新しいバッチスクリプトが万能のツールではないということです。これらは常に、被害者の特定のネットワーク環境をターゲットにするようにカスタムビルドされています。

最近のMountLocker攻撃の背後にある脅威アクターも、それぞれが独自のドメインを持つ複数のCobaltStrikeサーバーを使用しており、これが検出をさらに妨げています。 GuidePointによると、すべてのクリックを実現するために必要な作業量が多いため、このアプローチは特に一般的ではありません。

マウントロッカーを使用した最近の攻撃の多くは、バイオテクノロジーを狙ったものです。このセクターは、ハッカーが盗むことができる可能性のある非常に機密性の高い情報のために、ハッカーにとって特に有利です。

GuidePointはまた、AstroLockerという名前でMountLockerの新しいより高度なバージョンのブランドを変更するための組織的な推進があると考えています。サービスとしてのランサムウェア操作として実行されるMountLockerの場合、これは非常に理にかなっています。