viernes, 18 de diciembre de 2020

Nuevo ransomware Mount Locker

Nuevo ransomware Mount Locker

      Un nuevo ransomware con función tanto de cifrado como de exfiltración de ficheros lleva activo desde el pasado mes de julio, debido a las funciones que implementa existe una doble vía de extorsión.

En una investigación realizada por Blackberry han llegado a la conclusión de que el malware es distribuido como servicios (Ransomware-as-a-Service, RaaS), dando la opción a alquilar el ransomware a terceros una vez consiguen acceso a una red corporativa.

Por norma general la entrada más habitual suele ser acceso vía RDP a uno de los equipos, ya sea por pura fuerza bruta contra servidores expuestos o bien con leaks de contraseñas. Tras conseguir acceso al equipo hay un parón de varios días antes de lanzar el ransomware, motivo que sugiere a los investigadores que durante el periodo de parón hay unas negociaciones con los creadores del ransomware.

Una vez reanudado el ataque, empieza un reconocimiento de la red interna por parte del ataque, para ello se utiliza una herramienta llamada AdFind, diseñada para consultar el directorio activo e identificar nuevos objetivos accesibles. A medida que la herramienta va moviéndose por la red, realiza una instalación de CobaltStrike, que permite al atacante tomar control director de los equipos, medio para la ejecución de scripts y el binario de ransomware.

La principal característica de este ransomware es la capacidad exfiltrar datos por FTP, antes de cifrar los mismos. De esta forma el atacante consigue una vía para realizar doble extorsión a la víctima, ya que, independientemente de disponer de copias de seguridad por parte de la empresa que permite continuar con su negocio con normalidad, el atacante puede exigir dinero a cambio de no publicar la información obtenida.

Además, para que la víctima compruebe que existe una exfiltración el atacante crea una página web en la red Tor donde estará el volumen de información obtenido.

Para el cifrado de los archivos es utilizado el algoritmo CHACHA20, y para cifrar la clave utilizada en este algoritmo en el binario se incorpora una clave pública RSA, cuya contraparte es conocida únicamente por los operadores del malware. Una vez generada la clave se crea un fichero html con la información para el usuario, mensaje que incluye una dirección de la red TOR donde se podrá realizar el pago para el rescate. Por último, se procede al cifrado masivo de ficheros, excluyendo ciertos ficheros del sistema incluidos en una lista interna.


No hay comentarios:

Publicar un comentario