[[381484]]

從2020年7月底開始，Mount Locker就已經(jīng)開始針對(duì)各個(gè)大型企業(yè)網(wǎng)絡(luò)進(jìn)行滲透攻擊，并部署勒索軟件。跟其他勒索軟件一樣，Mount Locker會(huì)在對(duì)目標(biāo)用戶的文件進(jìn)行加密之前，先竊取用戶文件，然后再去跟目標(biāo)用戶索要數(shù)百萬(wàn)美元的贖金。11月，瑞典領(lǐng)先的安全公司Gunnebo AB就遭受了Mount Locker攻擊，黑客已將盜竊的數(shù)據(jù)發(fā)布到了暗網(wǎng)上。據(jù)報(bào)道，該公司的服務(wù)器早在2020年8月遭到破壞，Gunnebo成立于1889年，后來(lái)成為歐洲銀行安全解決方案的領(lǐng)先提供商，包括安全存儲(chǔ)，現(xiàn)金管理和入口控制系統(tǒng)。該公司首席執(zhí)行官斯特凡·塞倫(StefanSyrén)透露，這次襲擊是高度組織的，Mount Locker勒索軟件組織要求向BTC勒索贖金。但是，該公司拒絕支付贖金，而是將事件報(bào)告給了瑞典安全局Spo。然后，Mount Locker勒索軟件組將大約38000個(gè)文件上傳到公共服務(wù)器。

目前Mount Locker現(xiàn)已加入百萬(wàn)級(jí)別勒索軟件家族，不過(guò)MountLocker勒索軟件最近收到了一個(gè)更新，該更新將其大小減小了一半，但仍保留了一個(gè)學(xué)習(xí)模塊，該模塊有可能允許學(xué)習(xí)用于加密文件的隨機(jī)密鑰。

瘦身計(jì)劃

在11月下半月，惡意軟件研究人員在野外看到了第二版的MountLocker，它的開發(fā)人員正在積極為下一次攻擊做準(zhǔn)備。

高級(jí)情報(bào)公司(AdvIntel)的反向工程師兼首席執(zhí)行官維塔利·克萊米茲(Vitali Kremez)的研究表明，勒索軟件開發(fā)人員添加了與TurboTax軟件關(guān)聯(lián)的文件擴(kuò)展名(.tax，.tax2009，.tax2013，.tax2014)，以準(zhǔn)備發(fā)起基于針對(duì)稅務(wù)系統(tǒng)的攻擊。TurboTax是一款非常好用的稅收類的軟件，可以為用戶們提供最為合理的指導(dǎo)，以便更好的幫助用戶們做出正確的決策，同時(shí)，軟件操作也是十分的簡(jiǎn)單，無(wú)任何復(fù)雜的操作，哪怕是什么都不會(huì)的用戶們也是可以輕松的像專業(yè)人士一樣使用。該軟件可幫助用戶自動(dòng)導(dǎo)入用戶的投資信息和稅收數(shù)據(jù)，涵蓋股票，債券，ESPP，機(jī)器人投資，加密貨幣，租賃物業(yè)收入等，并能自動(dòng)搜索400多種稅收減免和抵免額，以查找您符合資格的每個(gè)稅收優(yōu)惠。

在最近發(fā)布的技術(shù)分析中，BlackBerry Research and Intelligence Team指出，新的MountLocker版本將從11月6日開始編譯。

惡意軟件開發(fā)人員將64位惡意軟件的大小減少到46KB，比之前的版本小了約50%。為了達(dá)到這個(gè)目的，他們刪除了文件擴(kuò)展名列表，其中有2600多個(gè)要加密的密鑰。

現(xiàn)在，它的目標(biāo)是一個(gè)較小的列表，該列表排除了易于替換的文件類型：.EXE，.DLL，.SYS，.MSI，.MUI，.INF，.CAT，.BAT，.CMD，.PS1，.VBS，.TTF， .FON，.LNK。

新代碼與舊代碼非常相似，最大的變化是刪除卷影副本和終止進(jìn)程的過(guò)程，該過(guò)程現(xiàn)在在加密文件之前使用PowerShell腳本完成。

不過(guò)研究人員發(fā)現(xiàn)新的MountLocker中70%的代碼與以前的版本相同，包括不安全的Windows API函數(shù)GetTickCount，該惡意軟件可以生成一個(gè)隨機(jī)加密密鑰(會(huì)話密鑰)。

GetTickCount已經(jīng)被棄用，取而代之的是GetTickCount64。在其密碼建議列表中，微軟將這兩個(gè)函數(shù)都列為生成隨機(jī)數(shù)的不安全方法。

研究人員發(fā)現(xiàn)，使用GetTickCount API，通過(guò)強(qiáng)行破解找到加密密鑰的可能性很小。研究人員補(bǔ)充說(shuō)，這一破解的成功取決于知道執(zhí)行勒索軟件時(shí)的時(shí)間戳計(jì)數(shù)器的值。

MountLocker使用ChaCha20流密碼對(duì)受感染計(jì)算機(jī)上的文件進(jìn)行加密，然后使用嵌入在其代碼中的2048位RSA公鑰對(duì)會(huì)話密鑰進(jìn)行加密。

傳播過(guò)程

與其他勒索軟件操作一樣，MountLocker開發(fā)人員也依賴關(guān)聯(lián)公司來(lái)攻擊公司網(wǎng)絡(luò)，他們使用的技術(shù)通常就是勒索軟件攻擊技術(shù)。

對(duì)MountLocker活動(dòng)的調(diào)查顯示，攻擊者經(jīng)常通過(guò)具有受損憑據(jù)的遠(yuǎn)程桌面(RDP)連接訪問(wèn)受害者網(wǎng)絡(luò)。

在這些攻擊中，研究人員觀察到了Cobalt Strike信標(biāo)和AdFind活動(dòng)目錄查詢工具，以進(jìn)行偵察并在網(wǎng)絡(luò)上橫向移動(dòng)，而FTP則用于在加密階段之前竊取文件。

在BlackBerry分析的一個(gè)樣本中，MountLocker的子公司獲得了一名受害者的網(wǎng)絡(luò)訪問(wèn)權(quán)限，并暫停了幾天受害者的運(yùn)行活動(dòng)，然后才恢復(fù)活動(dòng)。

研究人員認(rèn)為，MountLocker的攻擊已經(jīng)開始，已經(jīng)有攻擊者開始購(gòu)買它了。

攻擊者在獲得勒索軟件后，花了大約24小時(shí)進(jìn)行偵察、竊取文件、橫向移動(dòng)并部署MountLocker。

研究人員表示，在來(lái)自MountLocker子公司的攻擊中，像這樣的快速操作是正常的，因?yàn)樗鼈兛梢栽跀?shù)小時(shí)內(nèi)竊取數(shù)據(jù)并對(duì)網(wǎng)絡(luò)上的關(guān)鍵設(shè)備進(jìn)行加密。

盡管這種勒索軟件很新，但這類勒索軟件顯然是為了賺大錢，并很可能會(huì)擴(kuò)大業(yè)務(wù)以獲得最大利潤(rùn)。

本文翻譯自：https://www.bleepingcomputer.com/news/security/mountlocker-ransomware-gets-slimmer-now-encrypts-fewer-files/如若轉(zhuǎn)載，請(qǐng)注明原文地址。