自2020年7月下旬开始,MountLocker开始渗透攻击各类大型企业网络并部署勒索软件。与其他勒索软件一样,MountLocker在加密之前窃取目标用户的文件,然后向目标用户索要数百万美元的赎金。11月,瑞典领先的安全公司GunneboAB遭受MountLocker攻击,黑客将窃取的数据发布到暗网上。据报道,该公司的服务器早在2020年8月就遭到入侵。Gunnebo成立于1889年,此后已成为欧洲银行安全解决方案的领先提供商,包括安全存储、现金管理和访问控制系统。该公司首席执行官StefanSyrén透露,这次攻击是高度组织的,MountLocker勒索软件组织要求以BTC支付赎金。然而,该公司拒绝支付赎金,而是向瑞典安全局SPO报告了这一事件。MountLocker勒索软件组随后将大约38,000个文件上传到公共服务器。MountLocker现已加入百万级勒索病毒家族,不过MountLocker勒索病毒最近收到了更新,体积缩减了一半,但仍保留了一个学习模块,可能允许学习使用加密随机密钥对文件进行加密。精简计划11月下半月,恶意软件研究人员在野外发现了第二个版本的MountLocker,其开发人员正在积极准备下一次攻击。AdvIntel的逆向工程师兼首席执行官VitaliKremez的研究表明,勒索软件开发人员添加了文件扩展名(.tax、.tax2009、.tax2013、.tax2014),为基于税收系统的攻击做准备。TurboTax是一款非常好用的税务软件,可以为用户提供最合理的指导,以更好地帮助用户做出正确的决定。同时,软件操作也非常简单,没有任何复杂的操作,即使是一窍不通的用户也能像专业人士一样轻松上手。该软件可以帮助用户自动导入用户的投资信息和税务数据,涵盖股票、债券、ESPP、机器人投资、加密货币、出租物业收入等,并可以自动搜索400多种税收减免和抵免,为您找到符合条件的每一项税收优惠。在最近发布的技术分析中,黑莓研究和情报团队指出,新的MountLocker版本将从11月6日开始编译。恶意软件开发人员已将64位恶意软件的大小减小到46KB,比以前的版本小约50%。为此,他们删除了文件扩展名列表,其中有2600多个密钥需要加密。它现在针对一个较小的列表,其中排除了易于替换的文件类型:.EXE、.DLL、.SYS、.MSI、.MUI、.INF、.CAT、.BAT、.CMD、.PS1、.VBS、.TTF、.FON、.LNK。新代码与旧代码非常相似,最大的变化是删除卷影副本和终止进程的过程,现在是在加密文件之前使用PowerShell脚本完成的。然而,研究人员发现新的MountLocker中有70%的代码与之前的版本相同,包括不安全的WindowsAPI函数GetTickCount,它允许恶意软件生成随机加密密钥(会话密钥)。GetTickCount已弃用并由GetTickCount64取代。在其密码建议列表中,Microsoft将这两种函数都列为生成随机数的不安全方法。研究人员发现,使用GetTickCountAPI,通过暴力破解找到加密密钥的机会很小。研究人员补充说,这次破解的成功取决于了解勒索软件执行时时间戳计数器的值。MountLocker使用ChaCha20流密码加密受感染计算机上的文件,然后使用嵌入其代码中的2048位RSA公钥加密会话密钥。传播过程与其他勒索软件操作一样,MountLocker开发人员也依赖附属公司来攻击公司网络,通常使用勒索软件攻击中使用的技术。对MountLocker活动的调查显示,攻击者通常使用受损凭据通过远程桌面(RDP)连接访问受害网络。在这些攻击中,研究人员观察到CobaltStrike信标和AdFind活动目录查询工具用于网络侦察和横向移动,而FTP用于在加密阶段之前窃取文件。在BlackBerry分析的一个样本中,MountLocker的一家子公司获得了对受害者网络的访问权限,并在恢复活动之前将受害者的操作活动暂停了几天。研究人员认为,MountLocker攻击已经开始,攻击者已经开始购买。获取勒索软件后,攻击者花了大约24小时进行侦察、窃取文件、横向移动和部署MountLocker。研究人员表示,像这样的快速操作在来自MountLocker子公司的攻击中很常见,因为它们可以在数小时内窃取数据并加密网络上的关键设备。虽然这类勒索软件很新,但很明显,这类勒索软件是为了赚大钱,很可能会扩大业务以实现利润最大化。本文翻译自:https://www.bleepingcomputer.com/news/security/mountlocker-ransomware-gets-slimmer-now-encrypts-fewer-files/如有转载请注明出处。
