Stosunkowo nowe oprogramowanie ransomware, które stoi za serią naruszeń w sieciach korporacyjnych, stworzyło nowe możliwości, które pozwalają na poszerzenie zakresu wykrywania i omijania oprogramowania zabezpieczającego, a także na przeprowadzanie ataków podwójnych wymuszeń przez podmioty powiązane.
Ransomware MountLocker, które zaczęło działać dopiero w lipcu 2020 roku, zyskało już sławę dzięki kradzieży plików przed ich zaszyfrowaniem i żądaniu milionowych kwot okupu w celu zapobieżenia publicznemu ujawnieniu skradzionych danych, co jest taktyką znaną jako podwójne wymuszenie.
„Operatorzy MountLocker najwyraźniej tylko się rozgrzewają. Po powolnym starcie w lipcu szybko zyskują na popularności, ponieważ natura wymuszeń i wycieków danych z dysku wymaga coraz wyższego okupu”, twierdzą naukowcy z zespołu BlackBerry Research and Intelligence.
„Partnerzy firmy MountLocker są zazwyczaj szybkimi operatorami, szybko filtrującymi poufne dokumenty i szyfrującymi je pomiędzy najważniejszymi obiektami w ciągu kilku godzin”.
MountLocker dołącza również do innych rodzin oprogramowania okupowego, takich jak Maze (który zakończył działalność w zeszłym miesiącu), które udostępniają dark net, aby wymieniać i kompromitować ofiary oraz dostarczać linki do wyciekłych danych.
Do tej pory oprogramowanie ransomware przechwyciło dane pięciu ofiar, chociaż naukowcy podejrzewają, że liczba ta może być „o wiele większa”.
Oferowany jako Ransomware-as-a-Service (RaaS), MountLocker został wykorzystany na początku sierpnia tego roku przeciwko szwedzkiej firmie ochroniarskiej Gunnebo.
Mimo, że firma twierdziła, że udało jej się udaremnić atak na oprogramowanie okupujące, przestępcy, którzy zaaranżowali włamanie, w październiku tego roku ukradli i opublikowali w Internecie 18 gigabajtów poufnych dokumentów, w tym schematy skarbców bankowych klientów i systemów nadzoru.
Zgodnie z analizą BlackBerry’ego, podmioty odpowiedzialne za kampanie związane z MountLockerem wykorzystywały zdalny pulpit (RDP) z naruszonymi referencjami, aby uzyskać początkowe umocowanie w środowisku ofiary a następnie wdrażały narzędzia do przeprowadzania rozpoznania sieci (AdFind), wdrażania oprogramowania okupowego i rozpowszechniania go w sieci oraz filtrowania krytycznych danych przez FTP.
Oprogramowanie ransomware samo w sobie jest lekkie i wydajne. Po uruchomieniu, inicjuje zakończenie działania oprogramowania antywirusowego, uruchamia szyfrowanie przy użyciu szyfru ChaCha20 i tworzy notatkę o okupie, która zawiera link do adresu URL Tor .onion, aby skontaktować się z przestępcami poprzez usługę czatu „dark web” w celu wynegocjowania ceny za oprogramowanie deszyfrujące.
Wykorzystuje również wbudowany klucz publiczny RSA-2048 do szyfrowania klucza szyfrującego, kasuje woluminowe kopie cieniowania, aby uniemożliwić odtworzenie zaszyfrowanych plików, a w końcu usuwa się z dysku, aby ukryć jego ślady.
Badacze zwracają jednak uwagę, że oprogramowanie ransomware wykorzystuje niezabezpieczoną kryptograficznie metodę o nazwie GetTickCount API do generowania klucza, który może być podatny na brutalny atak.
Lista celów szyfrowania MountLocker jest obszerna i obejmuje ponad 2600 rozszerzeń plików obejmujących bazy danych, dokumenty, archiwa, obrazy, oprogramowanie księgowe, oprogramowanie zabezpieczające, kod źródłowy, gry i kopie zapasowe. Pliki wykonywalne, takie jak .exe, .dll i .sys, pozostają nietknięte.
Nowy wariant MountLockera zauważony pod koniec listopada (nazwany „wersją 2”) idzie o krok dalej, usuwając listę rozszerzeń, które mają być dołączone do szyfrowania na rzecz listy szczupłych wykluczeń: .exe, .dll, .sys, .msi, .mui, .inf, .cat, .bat, .cmd, .ps1, .vbs, .ttf, .fon, i .lnk.
„Od momentu powstania, grupa MountLocker jest postrzegana zarówno jako grupa rozwijająca się, jak i ulepszająca swoje usługi i złośliwe oprogramowanie”, podsumowali badacze. „Chociaż ich obecne możliwości nie są szczególnie zaawansowane, spodziewamy się, że w krótkim okresie czasu grupa ta będzie się rozwijać i rosnąć w siłę”.
Czytaj podobne
Grupa hakerów (prawdopodobnie) z Białorusi włamała się na serwery rosyjskiego Roskomnadzoru
Największe na świecie naruszenia danych i ataki hakerskie
Chińscy hakerzy wykorzystują Dysk Google do umieszczania złośliwego oprogramowania w sieciach rządowych