Το Mount Locker ransomware έχει παρατηρηθεί σε πρόσφατες εκστρατείες με πιο εξελιγμένα scripting και άλλα χαρακτηριστικά. Μάλιστα, φαίνεται ότι οι βελτιώσεις και οι αλλαγές στις τεχνικές λειτουργίας συμπίπτουν και με την αλλαγή ονόματος σε “AstroLocker“.
Σύμφωνα με ερευνητές ασφαλείας, το Mount Locker ransomware αναπτύχθηκε πολύ γρήγορα. Ήρθε στην επιφάνεια ως ransomware-as-a-service κατά το δεύτερο εξάμηνο του 2020 και τον Νοέμβριο του ίδιου έτους, η hacking ομάδα έκανε μια σημαντική ενημέρωση που διεύρυνε τις δυνατότητες στόχευσης. Επίσης, οι hackers βελτίωσαν τις δυνατότητες αποφυγής της ανίχνευσης. Οι επιθέσεις εξακολούθησαν να αυξάνονται και τώρα, μια άλλη μεγάλη ενημέρωση “φέρνει σημαντικές αλλαγές στις τακτικές του Mount Locker ransomware“, σύμφωνα με μια ανάλυση που κυκλοφόρησε την Πέμπτη από τη GuidePoint Security.
Δείτε επίσης: Ολλανδικά σούπερ μάρκετ ξεμένουν από τυρί μετά από μια επίθεση ransomware
Το Mount Locker προσθέτει χαρακτηριστικά για την αποφυγή της ανίχνευσης
Όπως πολλές ransomware συμμορίες, έτσι και οι χειριστές του Mount Locker δεν κρυπτογραφούν απλά τα συστήματα των θυμάτων. Πριν το κάνουν αυτό, κλέβουν δεδομένα και απειλούν να τα διαρρεύσουν εάν δεν λάβουν τα λύτρα (διπλός εκβιασμός). Οι συγκεκριμένοι hackers είναι γνωστοί για τα μεγάλα χρηματικά ποσά που ζητούν και για την κλοπή ιδιαίτερα μεγάλων ποσοτήτων δεδομένων (έως 400 GB).
Σύμφωνα με τη GuidePoint, από τεχνική άποψη, το Mount Locker ransomware χρησιμοποιεί off-the-shelf, νόμιμα εργαλεία για να εξαπλωθεί στο σύστημα, να κλέψει αρχεία και να κρυπτογραφήσει τις συσκευές.
“Μετά την εξέταση του περιβάλλοντος, τα backup συστήματα εντοπίζονται και εξουδετερώνονται και συλλέγονται δεδομένα. Τέλος, τα συστήματα κρυπτογραφούνται“, δήλωσε ο Drew Schmitt, ανώτερος αναλυτής πληροφοριών της GuidePoint.
Δείτε επίσης: NBA: Οι Houston Rockets στο στόχαστρο ransomware συμμορίας!
Σύμφωνα με τους ερευνητές, οι πιο πρόσφατες εκστρατείες αξιοποιούν διάφορες νέες λειτουργίες. Αυτές έχουν σχεδιαστεί για να απενεργοποιούν τα εργαλεία ανίχνευσης και πρόληψης επιθέσεων.
“Αυτό υποδηλώνει ότι το Mount Locker ransomware ενισχύει τις δυνατότητές του και γίνεται μια πιο επικίνδυνη απειλή“, σύμφωνα με τον Schmitt. “Αυτά τα scripts δεν ήταν απλώς γενικά βήματα για την απενεργοποίηση ενός μεγάλου εύρους εργαλείων, αλλά ήταν προσαρμοσμένα και στοχευμένα στο περιβάλλον του θύματος“.
Οι ερευνητές παρατήρησαν και μια άλλη αλλαγή στις τακτικές του ransomware. Αυτή η αλλαγή σχετίζεται με τη χρήση πολλαπλών CobaltStrike servers με μοναδικά domains. Πρόκειται για ένα πρόσθετο βήμα που βοηθά στην αποφυγή της ανίχνευσης.
Biotech εταιρείες στο στόχαστρο των hackers
Οι αλλαγές στις τακτικές συνοδεύτηκαν από μια αύξηση στις επιθέσεις που στοχεύουν τη biotech βιομηχανία.
Οι οργανισμοί υγειονομικής περίθαλψης και βιοτεχνολογίας είναι πρωταρχικοί στόχοι των ransomware συμμοριών, επειδή δεν μπορούν να σταματήσουν τη λειτουργία τους για μεγάλο διάστημα. Έτσι, είναι πιο πιθανό να πληρώσουν τα λύτρα.
Δείτε επίσης: Broward County Public Schools: Ransomware συμμορία ζήτησε $ 40 εκατομμύρια
Όπως είπαμε και παραπάνω, οι αλλαγές αυτές συμπίπτουν και με την αλλαγή ονομασίας (AstroLocker). Ο Schmitt επεσήμανε ότι όλες αυτές οι αλλαγές σε τακτικές στόχους και όνομα, πιθανότατα δείχνουν ότι το ransomware θέλει να εξελιχθεί σε μεγαλύτερη απειλή.
Οι οργανισμοί μπορούν να αναζητήσουν σημάδια του Mount Locker ή AstroLocker ransomware μέσα στα περιβάλλοντά τους, όπως CobaltStrike stagers και beacons. Θα πρέπει, επίσης, να παρακολουθούν το staging και την εξαγωγή αρχείων μέσω FTP.
“Ενώ αυτά τα σημάδια αποτελούν πάντα αιτία ανησυχίας… ένα ενημερωμένο, πιο επιθετικό Mount Locker και η δραματική αύξηση των επιθέσεων που οφείλονται στην ομάδα, κάνουν αυτά τα σημάδια πιο ανησυχητικά“, κατέληξε ο Schmitt.
Πηγή: Threatpost