Mount Locker勒索軟件計劃針對稅務系統目標發起攻擊
從2020年7月底開始,Mount Locker就已經開始針對各個大型企業網絡進行滲透攻擊,并部署勒索軟件。跟其他勒索軟件一樣,Mount Locker會在對目標用戶的文件進行加密之前,先竊取用戶文件,然后再去跟目標用戶索要數百萬美元的贖金。11月,瑞典領先的安全公司Gunnebo AB就遭受了Mount Locker攻擊,黑客已將盜竊的數據發布到了暗網上。據報道,該公司的服務器早在2020年8月遭到破壞,Gunnebo成立于1889年,后來成為歐洲銀行安全解決方案的領先提供商,包括安全存儲,現金管理和入口控制系統。該公司首席執行官斯特凡·塞倫(StefanSyrén)透露,這次襲擊是高度組織的,Mount Locker勒索軟件組織要求向BTC勒索贖金。但是,該公司拒絕支付贖金,而是將事件報告給了瑞典安全局Spo。然后,Mount Locker勒索軟件組將大約38000個文件上傳到公共服務器。
目前Mount Locker現已加入百萬級別勒索軟件家族,不過MountLocker勒索軟件最近收到了一個更新,該更新將其大小減小了一半,但仍保留了一個學習模塊,該模塊有可能允許學習用于加密文件的隨機密鑰。
瘦身計劃
在11月下半月,惡意軟件研究人員在野外看到了第二版的MountLocker,它的開發人員正在積極為下一次攻擊做準備。
高級情報公司(AdvIntel)的反向工程師兼首席執行官維塔利·克萊米茲(Vitali Kremez)的研究表明,勒索軟件開發人員添加了與TurboTax軟件關聯的文件擴展名(.tax,.tax2009,.tax2013,.tax2014),以準備發起基于針對稅務系統的攻擊。TurboTax是一款非常好用的稅收類的軟件,可以為用戶們提供最為合理的指導,以便更好的幫助用戶們做出正確的決策,同時,軟件操作也是十分的簡單,無任何復雜的操作,哪怕是什么都不會的用戶們也是可以輕松的像專業人士一樣使用。該軟件可幫助用戶自動導入用戶的投資信息和稅收數據,涵蓋股票,債券,ESPP,機器人投資,加密貨幣,租賃物業收入等,并能自動搜索400多種稅收減免和抵免額,以查找您符合資格的每個稅收優惠。
在最近發布的技術分析中,BlackBerry Research and Intelligence Team指出,新的MountLocker版本將從11月6日開始編譯。
惡意軟件開發人員將64位惡意軟件的大小減少到46KB,比之前的版本小了約50%。為了達到這個目的,他們刪除了文件擴展名列表,其中有2600多個要加密的密鑰。
現在,它的目標是一個較小的列表,該列表排除了易于替換的文件類型:.EXE,.DLL,.SYS,.MSI,.MUI,.INF,.CAT,.BAT,.CMD,.PS1,.VBS,.TTF, .FON,.LNK。
新代碼與舊代碼非常相似,最大的變化是刪除卷影副本和終止進程的過程,該過程現在在加密文件之前使用PowerShell腳本完成。
不過研究人員發現新的MountLocker中70%的代碼與以前的版本相同,包括不安全的Windows API函數GetTickCount,該惡意軟件可以生成一個隨機加密密鑰(會話密鑰)。
GetTickCount已經被棄用,取而代之的是GetTickCount64。在其密碼建議列表中,微軟將這兩個函數都列為生成隨機數的不安全方法。
研究人員發現,使用GetTickCount API,通過強行破解找到加密密鑰的可能性很小。研究人員補充說,這一破解的成功取決于知道執行勒索軟件時的時間戳計數器的值。
MountLocker使用ChaCha20流密碼對受感染計算機上的文件進行加密,然后使用嵌入在其代碼中的2048位RSA公鑰對會話密鑰進行加密。
傳播過程
與其他勒索軟件操作一樣,MountLocker開發人員也依賴關聯公司來攻擊公司網絡,他們使用的技術通常就是勒索軟件攻擊技術。
對MountLocker活動的調查顯示,攻擊者經常通過具有受損憑據的遠程桌面(RDP)連接訪問受害者網絡。
在這些攻擊中,研究人員觀察到了Cobalt Strike信標和AdFind活動目錄查詢工具,以進行偵察并在網絡上橫向移動,而FTP則用于在加密階段之前竊取文件。
在BlackBerry分析的一個樣本中,MountLocker的子公司獲得了一名受害者的網絡訪問權限,并暫停了幾天受害者的運行活動,然后才恢復活動。
研究人員認為,MountLocker的攻擊已經開始,已經有攻擊者開始購買它了。
攻擊者在獲得勒索軟件后,花了大約24小時進行偵察、竊取文件、橫向移動并部署MountLocker。
研究人員表示,在來自MountLocker子公司的攻擊中,像這樣的快速操作是正常的,因為它們可以在數小時內竊取數據并對網絡上的關鍵設備進行加密。
盡管這種勒索軟件很新,但這類勒索軟件顯然是為了賺大錢,并很可能會擴大業務以獲得最大利潤。
本文翻譯自:https://www.bleepingcomputer.com/news/security/mountlocker-ransomware-gets-slimmer-now-encrypts-fewer-files/如若轉載,請注明原文地址。
