Nuevo ransomware Mount Locker

Nuevo ransomware Mount Locker

Un nuevo ransomware con función tanto de cifrado como de
exfiltración de ficheros lleva activo desde el pasado mes de julio, debido a
las funciones que implementa existe una doble vía de extorsión.

En una investigación realizada por Blackberry han llegado a
la conclusión de que el malware es distribuido como servicios (Ransomware-as-a-Service,
RaaS), dando la opción a alquilar el ransomware a terceros una vez consiguen
acceso a una red corporativa.

Por norma general la entrada más habitual suele ser acceso
vía RDP a uno de los equipos, ya sea por pura fuerza bruta contra servidores expuestos
o bien con leaks de contraseñas. Tras conseguir acceso al equipo hay un parón
de varios días antes de lanzar el ransomware, motivo que sugiere a los investigadores
que durante el periodo de parón hay unas negociaciones con los creadores del
ransomware.

Una vez reanudado el ataque, empieza un reconocimiento de la
red interna por parte del ataque, para ello se utiliza una herramienta llamada
AdFind, diseñada para consultar el directorio activo e identificar nuevos
objetivos accesibles. A medida que la herramienta va moviéndose por la red,
realiza una instalación de CobaltStrike, que permite al atacante tomar control
director de los equipos, medio para la ejecución de scripts y el binario de
ransomware.

La principal característica de este ransomware es la
capacidad exfiltrar datos por FTP, antes de cifrar los mismos. De esta forma el
atacante consigue una vía para realizar doble extorsión a la víctima, ya que,
independientemente de disponer de copias de seguridad por parte de la empresa
que permite continuar con su negocio con normalidad, el atacante puede exigir
dinero a cambio de no publicar la información obtenida.

In addition, para que la víctima compruebe que existe una
exfiltración el atacante crea una página web en la red Tor donde estará el
volumen de información obtenido.

Para el cifrado de los archivos es utilizado el algoritmo CHACHA20,
y para cifrar la clave utilizada en este algoritmo en el binario se incorpora
una clave pública RSA, cuya contraparte es conocida únicamente por los
operadores del malware. Una vez generada la clave se crea un fichero html con
la información para el usuario, mensaje que incluye una dirección de la red TOR
donde se podrá realizar el pago para el rescate. Last, se procede al
cifrado masivo de ficheros, excluyendo ciertos ficheros del sistema incluidos
en una lista interna.

Leave a Reply

Your email address will not be published. Required fields are marked *

Intec Cybersecurity
Intec Cybersecurity
intec cybersecurity