Il team di ricerca e intelligence BlackBerry Incident Response Team ha monitorato le campagne di MountLocker e rilevato una nuova forma di questo ransomware che sembra registrare rapidamente affiliati che lanciano attacchi mirati a un’ampia varietà di tipi di dati con maggiore frequenza. MountLocker è stato aggiornato il mese scorso sia per ampliare il targeting dei tipi di file che per eludere meglio il software di sicurezza. Gli affiliati sono responsabili in genere della compromissione iniziale, della distribuzione del suddetto ransomware e dell’esfiltrazione di dati sensibili dei clienti durante una violazione.
MountLocker è un Ransomware-as-a-Service (RaaS), attivo da luglio 2020 e aggiornato all’inizio di novembre 2020 per ampliare il targeting dei tipi di file ed eludere il software di sicurezza.
I file della vittima vengono crittografati utilizzando ChaCha20 e le chiavi di crittografia dei file vengono crittografate utilizzando RSA-2048.
Il ransomware sembra essere piuttosto sicuro e non presenta punti deboli banali che consentono un facile ripristino delle chiavi e la decrittografia dei dati. MountLocker utilizza tuttavia un metodo crittograficamente insicuro per la generazione di chiavi che potrebbero essere soggette ad attacchi.
I criminali informatici stanno combinando MountLocker con malware come AdFind per eseguire la ricognizione della rete e CobaltStrike Beacon per diffondere il malware lateralmente una volta installato.
Secondo il team, la maggior parte degli attacchi che impiegano questo ransomware utilizzano solitamente strumenti IT basati sul protocollo RDP (Remote Desktop Protocol), tramite credenziali compromesse ottenute probabilmente tramite una campagna di phishing di successo o semplicemente acquistate sul Dark Web.
Il report rileva inoltre che gli affiliati utilizzano MountLocker per esfiltrare i dati sensibili dei clienti tramite FTP prima della crittografia.
Gli operatori MountLocker si stanno chiaramente solo riscaldando. Dopo un inizio lento a luglio, stanno rapidamente guadagnando terreno, poiché la natura di alto profilo dell’estorsione e delle fughe di dati aumenta le richieste di riscatto. Gli affiliati di MountLocker sono in genere operatori veloci, che esfiltrano rapidamente documenti sensibili e li crittografano su obiettivi chiave in poche ore.
Fin dal suo inizio, il gruppo MountLocker è stato visto espandere e migliorare i propri servizi e malware. Sebbene le loro attuali capacità non siano particolarmente avanzate, ci aspettiamo che questo gruppo continui a svilupparsi e ad acquisire importanza nel breve termine, hanno riferito gli esperti di Blackberry.
https://blog.barracuda.com/2020/12/14/mountlocker-ransomware/
