Η συμμορία του MountLocker ransomware χρησιμοποιεί τώρα εταιρικά Windows Active Directory APIs για να «κινηθεί αθόρυβα» μέσα σε δίκτυα. Το MountLocker ξεκίνησε να αναπτύσσει δραστηριότητα στο τοπίο των απειλών τον Ιούλιο του 2020 ως Ransomware-as-a-Service (RaaS), όπου οι δημιουργοί του είναι υπεύθυνοι για τον προγραμματισμό του ransomware software και του site πληρωμών, ενώ οι συνεργάτες/σύμμαχοί τους προσλαμβάνονται για να χακάρουν επιχειρήσεις και να κρυπτογραφήσουν τις συσκευές τους.
Στο πλαίσιο αυτής της συνεργασίας, η κύρια ομάδα του MountLocker λαμβάνει το 20-30% από τις πληρωμές λύτρων, ενώ οι συνεργάτες/σύμμαχοί της λαμβάνουν το υπόλοιπο μερίδιο.
Διαβάστε επίσης: Το ransomware MountLocker μείωσε το μέγεθος του
Τον Μάρτιο του 2021, εμφανίστηκε μια νέα ransomware συμμορία με την ονομασία «Astro Locker» που άρχισε να χρησιμοποιεί μια προσαρμοσμένη έκδοση του MountLocker ransomware, με σημειώματα λύτρων που δείχνουν τα δικά της sites πληρωμών και τα data leak sites της.
Τον Μάιο του 2021, εμφανίστηκε μια τρίτη συμμορία με την ονομασία «XingLocker» που ξεκίνησε επίσης να χρησιμοποιεί ένα προσαρμοσμένο MountLocker ransomware εκτελέσιμο.
Αυτή την εβδομάδα, το MalwareHunterTeam δημοσίευσε ένα δείγμα αυτού που πιστεύεται ότι είναι ένα νέο MountLocker εκτελέσιμο, το οποίο περιέχει μια νέα δυνατότητα worm που του επιτρέπει να εξαπλώνεται και να κρυπτογραφεί άλλες συσκευές που υπάρχουν στο δίκτυο – στόχο.
Η δυνατότητα worm θα μπορούσε να ενεργοποιηθεί με την εκτέλεση του δείγματος malware, με το όρισμα της γραμμής εντολών / NETWORK. Καθώς αυτή η δυνατότητα απαιτεί Windows domain, οι δοκιμές που πραγματοποίησε το BleepingComputer απέτυχαν γρήγορα, όπως μπορείτε να δείτε παρακάτω.
Δείτε ακόμη: Πώς να ενεργοποιήσετε την προστασία ransomware στα Windows 10;
Αφού μοιράστηκε το δείγμα με τον Διευθύνοντα Σύμβουλο της Advanced Intel, Vitali Kremez, διαπιστώθηκε ότι το MountLocker χρησιμοποιεί τώρα το Windows Active Directory Service Interfaces API, ως μέρος της worm δυνατότητάς του.
Το ransomware χρησιμοποιεί πρώτα τη συνάρτηση NetGetDCName () για να ανακτήσει το όνομα του ελεγκτή domain. Στη συνέχεια, εκτελεί ερωτήματα LDAP ενάντια στο ADS του ελεγκτή domain, χρησιμοποιώντας τη συνάρτηση ADsOpenObject () με credentials που διαβιβάζονται στη γραμμή εντολών.
Μόλις συνδεθεί με τις υπηρεσίες του Active Directory, θα επαναλάβει το database για αντικείμενα του «objectclass = computer», όπως φαίνεται παραπάνω.
Για κάθε αντικείμενο που βρίσκει, το MountLocker προσπαθεί να αντιγράψει το ransomware εκτελέσιμο στο φάκελο «\ C $ \ ProgramData» της απομακρυσμένης συσκευής. Το ransomware θα δημιουργήσει απομακρυσμένα μια υπηρεσία Windows που φορτώνει το εκτελέσιμο, ώστε να μπορεί να προχωρήσει στην κρυπτογράφηση της συσκευής.
Πρόταση: Διπλή κρυπτογράφηση: Η νέα τεχνική που χρησιμοποιούν οι ransomware ομάδες
Χρησιμοποιώντας αυτό το API, το ransomware μπορεί να βρει όλες τις συσκευές που είναι μέρος του παραβιασμένου Windows domain και να τις κρυπτογραφήσει χρησιμοποιώντας κλεμμένα domain credentials.
Ο Kremez επεσήμανε πως το MountLocker είναι το πρώτο γνωστό ransomware που αξιοποιεί μοναδικές εταιρικές αρχιτεκτονικές γνώσεις προς όφελος του εντοπισμού πρόσθετων στόχων για την επιχείρηση κρυπτογράφησης εκτός του κανονικού δικτύου και για share scan. Πρόσθεσε ακόμη πως αυτή είναι η κβαντική αλλαγή της επαγγελματικοποίησης της ανάπτυξης ransomware για την εκμετάλλευση εταιρικών δικτύων.
Καθώς οι διαχειριστές δικτύων Windows χρησιμοποιούν συνήθως αυτό το API, ο Kremez πιστεύει ότι οι κακόβουλοι παράγοντες που πρόσθεσαν αυτόν τον κώδικα, πιθανότατα έχουν κάποια εμπειρία διαχείρισης Windows domain.
Ενώ αυτό το API έχει παρατηρηθεί σε άλλα malware, όπως το TrickBot, αυτό μπορεί να είναι το πρώτο «εταιρικό ransomware για επαγγελματίες» που χρησιμοποιεί αυτά τα APIs για να εκτελέσει built-in αναγνώριση και που εξαπλώνεται σε άλλες συσκευές.
Πηγή πληροφοριών: bleepingcomputer.com
