Una nueva variante de Ransomware llamada MountLocker también conocido
como AstroTeam, está apareciendo en muchas de las brechas de seguridad en las
redes corporativas de estos últimos días. Esta nueva variante apareció por
primera vez en julio de 2020, ganando una notoriedad por extraer los archivos
de la víctima antes de realizar el cifrado, demandando millones para conseguir
evitar que estos se divulguen en público, una táctica que es conocida como
doble extorsión.
Según han comunicado varios investigadores de BlackBerry,
los operadores que se encuentran afiliados a esta nueva variante suelen trabajar
muy rápidamente, filtrando documentos confidenciales y cifrando varios
objetivos clave en cuestión de hora.
Además de estas características, MountLocker entra en un
grupo de ransomware que operan una página web en la Deep Web donde nombran los
nombres de sus víctimas y proporcionan enlaces a los datos filtrados una vez no
ha sido pagado el rescate. Por el momento, solo se han visto víctimas en
América Latina, aunque se está sospechando que el número real de víctimas
podría ser superior al encontrado hasta la fecha.
Al igual que muchos otros se vende este ransomware como un
RaaS (Ransomware-as-a-Service), siendo la primera víctima notable la empresa de
seguridad sueca Gunnebo. En el momento del ataque la empresa indico que había conseguido
frustrado con éxito el ataque de ransomware, aunque realmente los delincuentes
consiguieron robar información, publicando 18 gigabytes de documentos
confidenciales, entre ellos se encontraban bóvedas de bancos de clientes y
sistemas de vigilancia.
Por lo que indican en un análisis de BlackBerry, en los ataques
MountLocker aprovecharon escritorios remotos con credenciales comprometidas,
obteniendo un punto de apoyo en el entorno de la víctima, algo que fue
observado en el primer ataque a Gunnebo, para posteriormente instalar herramientas
que lleven a cabo un reconocimiento de la red de la víctima como puede ser
AdFind, y una vez está reconocida la red se empieza a implementar el ransomware
y distribuirlo a través de la red, acabando con una exfiltración de datos críticos
a través de FTP.
Al igual que funcionan el resto de ransomware, finaliza el software
de seguridad, activa un cifrado, en este caso el cifrado se realiza en ChaCha20
y crear una nota de rescate en todos los equipos infectados que contiene un
enlace a una URL Tor que sirve como contacto con los delincuentes a través de
un chat para negociar el precio para descifrar el software.
Desde los inicios de sus actividades, este ransomware lleva expandiéndose
y mejorando sus servicios como malware.