jueves, 25 de marzo de 2021

Se extiende una nueva variante de Ransomware por América Latina, MountLocker

Nuevo ransomware MountLocker

      Una nueva variante de Ransomware llamada MountLocker también conocido como AstroTeam, está apareciendo en muchas de las brechas de seguridad en las redes corporativas de estos últimos días. Esta nueva variante apareció por primera vez en julio de 2020, ganando una notoriedad por extraer los archivos de la víctima antes de realizar el cifrado, demandando millones para conseguir evitar que estos se divulguen en público, una táctica que es conocida como doble extorsión.

Según han comunicado varios investigadores de BlackBerry, los operadores que se encuentran afiliados a esta nueva variante suelen trabajar muy rápidamente, filtrando documentos confidenciales y cifrando varios objetivos clave en cuestión de hora.

Además de estas características, MountLocker entra en un grupo de ransomware que operan una página web en la Deep Web donde nombran los nombres de sus víctimas y proporcionan enlaces a los datos filtrados una vez no ha sido pagado el rescate. Por el momento, solo se han visto víctimas en América Latina, aunque se está sospechando que el número real de víctimas podría ser superior al encontrado hasta la fecha.

Al igual que muchos otros se vende este ransomware como un RaaS (Ransomware-as-a-Service), siendo la primera víctima notable la empresa de seguridad sueca Gunnebo. En el momento del ataque la empresa indico que había conseguido frustrado con éxito el ataque de ransomware, aunque realmente los delincuentes consiguieron robar información, publicando 18 gigabytes de documentos confidenciales, entre ellos se encontraban bóvedas de bancos de clientes y sistemas de vigilancia.

Por lo que indican en un análisis de BlackBerry, en los ataques MountLocker aprovecharon escritorios remotos con credenciales comprometidas, obteniendo un punto de apoyo en el entorno de la víctima, algo que fue observado en el primer ataque a Gunnebo, para posteriormente instalar herramientas que lleven a cabo un reconocimiento de la red de la víctima como puede ser AdFind, y una vez está reconocida la red se empieza a implementar el ransomware y distribuirlo a través de la red, acabando con una exfiltración de datos críticos a través de FTP.

Al igual que funcionan el resto de ransomware, finaliza el software de seguridad, activa un cifrado, en este caso el cifrado se realiza en ChaCha20 y crear una nota de rescate en todos los equipos infectados que contiene un enlace a una URL Tor que sirve como contacto con los delincuentes a través de un chat para negociar el precio para descifrar el software.

Desde los inicios de sus actividades, este ransomware lleva expandiéndose y mejorando sus servicios como malware.


No hay comentarios:

Publicar un comentario