研究发现,一种新的勒索软件可以扩大目标范围,躲避安全软件的检测,发动双重勒索攻击。
MountLocker勒索软件在2020年7月开始出现,它在加密前窃取文件,并且要求数百万赎金,这种策略被称为双重勒索。
BlackBerry Research and Intelligence Team的研究人员表示,“MountLocker背后的攻击者显然只是在热身。从7月份开始,他们的勒索要求越来越高。”
“与MountLocker相关联的公司效率很高,能够快速过滤敏感文档,在几个小时内对目标进行加密。”
MountLocker还加入了其他勒索软件家族,比如Maze(上个月关闭),这些勒索软件在暗网上运营一个网站,羞辱受害者,并提供泄露数据的链接。
到目前为止,这款勒索软件已经有5名受害者,但研究人员怀疑人数可能“多得多”。
MountLocker作为勒索软件即服务(RaaS)提供,它在今年8月初针对瑞典安全公司Gunnebo进行了部署。
尽管该公司表示已成功阻止了勒索软件攻击,但攻击者最终在10月份窃取并在网上发布了18G的敏感文件,这些文件包括客户银行保险库和监控系统的示意图。
现在根据BlackBerry的分析,MountLocker背后的攻击者利用远程桌面(RDP)和泄露的凭证,在受害者的环境中获得初步的立足点(这在Gunnebo的黑客攻击中也有观察到)。然后部署工具执行网络侦察(AdFind),接着部署勒索软件和横向跨网络传播,通过FTP过滤关键数据。
勒索软件本身是轻量级且高效的。执行后,它会终止安全软件,使用ChaCha20密码触发加密,并创建一张勒索便条,其中包含一个Tor.onion URL的链接,通过暗网聊天服务协商解密软件的价格。
它还使用一个嵌入的RSA-2048公钥对加密密钥进行加密,删除卷影副本以阻止加密文件的恢复,并最终将自己从磁盘中删除以隐藏踪迹。
然而,研究人员指出,勒索软件使用一种称为GetTickCount API的加密不安全方法来生成密钥,该方法可能容易受到暴力攻击。
MountLocker的加密目标非常广泛,支持2600多个文件扩展名,包括数据库、文档、档案、图像、会计软件、安全软件、源代码、游戏和备份。
除此之外,我们在11月底发现了MountLocker的一个新变种(称为“版本2”),它删除了加密所需的扩展名列表,转而使用精简的排除列表:.exe、.dll、.sys、.msi、.mui、.inf、.cat、.bat、.cmd、.ps1、.vbs、.ttf、.fon和.lnk。
研究人员总结说:“自从成立以来,MountLocker组织就在扩大和改进其服务。虽然他们目前还不是特别先进,但可能短期内变得更强大。”
消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。
本文由 HackerNews.cc 翻译整理。
转载请注明“转自 HackerNews.cc ”
请登录后发表评论
注册