Una nueva variante de Ransomware llamada MountLocker también conocido
como AstroTeam, está apareciendo en muchas de las brechas de seguridad en las
redes corporativas de estos últimos días. Esta nueva variante apareció por
primera vez en julio de 2020, ganando una notoriedad por extraer los archivos
de la víctima antes de realizar el cifrado, demandando millones para conseguir
evitar que estos se divulguen en público, una táctica que es conocida como
doble extorsión.
Según han comunicado varios investigadores de BlackBerry,
los operadores que se encuentran afiliados a esta nueva variante suelen trabajar
muy rápidamente, filtrando documentos confidenciales y cifrando varios
objetivos clave en cuestión de hora.
Además de estas características, MountLocker entra en un
grupo de ransomware que operan una página web en la Deep Web donde nombran los
nombres de sus víctimas y proporcionan enlaces a los datos filtrados una vez no
ha sido pagado el rescate. For the moment, solo se han visto víctimas en
América Latina, aunque se está sospechando que el número real de víctimas
podría ser superior al encontrado hasta la fecha.
Al igual que muchos otros se vende este ransomware como un
RaaS (Ransomware-as-a-Service), siendo la primera víctima notable la empresa de
seguridad sueca Gunnebo. En el momento del ataque la empresa indico que había conseguido
frustrado con éxito el ataque de ransomware, aunque realmente los delincuentes
consiguieron robar información, publicando 18 gigabytes de documentos
confidenciales, entre ellos se encontraban bóvedas de bancos de clientes y
sistemas de vigilancia.
Por lo que indican en un análisis de BlackBerry, en los ataques
MountLocker aprovecharon escritorios remotos con credenciales comprometidas,
obteniendo un punto de apoyo en el entorno de la víctima, algo que fue
observado en el primer ataque a Gunnebo, para posteriormente instalar herramientas
que lleven a cabo un reconocimiento de la red de la víctima como puede ser
AdFind, y una vez está reconocida la red se empieza a implementar el ransomware
y distribuirlo a través de la red, acabando con una exfiltración de datos críticos
a través de FTP.
Al igual que funcionan el resto de ransomware, finaliza el software
security, activa un cifrado, In this case the encryption is done in ChaCha20
and create a ransom note on all infected computers that contains a
link to a Tor URL that serves as contact with the criminals through a
chat to negotiate the price to decrypt the software.
Since the beginning of its activities, this ransomware has been spreading
and improving its services as malware.