[[381484]]

從2020年7月底開始，Mount Locker就已經(jīng)開始針對各個大型企業(yè)網(wǎng)絡(luò)進行滲透攻擊，并部署勒索軟件。跟其他勒索軟件一樣，Mount Locker會在對目標用戶的文件進行加密之前，先竊取用戶文件，然后再去跟目標用戶索要數(shù)百萬美元的贖金。11月，瑞典領(lǐng)先的安全公司Gunnebo AB就遭受了Mount Locker攻擊，黑客已將盜竊的數(shù)據(jù)發(fā)布到了暗網(wǎng)上。據(jù)報道，該公司的服務(wù)器早在2020年8月遭到破壞，Gunnebo成立于1889年，后來成為歐洲銀行安全解決方案的領(lǐng)先提供商，包括安全存儲，現(xiàn)金管理和入口控制系統(tǒng)。該公司首席執(zhí)行官斯特凡·塞倫(StefanSyrén)透露，這次襲擊是高度組織的，Mount Locker勒索軟件組織要求向BTC勒索贖金。但是，該公司拒絕支付贖金，而是將事件報告給了瑞典安全局Spo。然后，Mount Locker勒索軟件組將大約38000個文件上傳到公共服務(wù)器。

目前Mount Locker現(xiàn)已加入百萬級別勒索軟件家族，不過MountLocker勒索軟件最近收到了一個更新，該更新將其大小減小了一半，但仍保留了一個學(xué)習(xí)模塊，該模塊有可能允許學(xué)習(xí)用于加密文件的隨機密鑰。

瘦身計劃

在11月下半月，惡意軟件研究人員在野外看到了第二版的MountLocker，它的開發(fā)人員正在積極為下一次攻擊做準備。

高級情報公司(AdvIntel)的反向工程師兼首席執(zhí)行官維塔利·克萊米茲(Vitali Kremez)的研究表明，勒索軟件開發(fā)人員添加了與TurboTax軟件關(guān)聯(lián)的文件擴展名(.tax，.tax2009，.tax2013，.tax2014)，以準備發(fā)起基于針對稅務(wù)系統(tǒng)的攻擊。TurboTax是一款非常好用的稅收類的軟件，可以為用戶們提供最為合理的指導(dǎo)，以便更好的幫助用戶們做出正確的決策，同時，軟件操作也是十分的簡單，無任何復(fù)雜的操作，哪怕是什么都不會的用戶們也是可以輕松的像專業(yè)人士一樣使用。該軟件可幫助用戶自動導(dǎo)入用戶的投資信息和稅收數(shù)據(jù)，涵蓋股票，債券，ESPP，機器人投資，加密貨幣，租賃物業(yè)收入等，并能自動搜索400多種稅收減免和抵免額，以查找您符合資格的每個稅收優(yōu)惠。

在最近發(fā)布的技術(shù)分析中，BlackBerry Research and Intelligence Team指出，新的MountLocker版本將從11月6日開始編譯。

惡意軟件開發(fā)人員將64位惡意軟件的大小減少到46KB，比之前的版本小了約50%。為了達到這個目的，他們刪除了文件擴展名列表，其中有2600多個要加密的密鑰。

現(xiàn)在，它的目標是一個較小的列表，該列表排除了易于替換的文件類型：.EXE，.DLL，.SYS，.MSI，.MUI，.INF，.CAT，.BAT，.CMD，.PS1，.VBS，.TTF， .FON，.LNK。

新代碼與舊代碼非常相似，最大的變化是刪除卷影副本和終止進程的過程，該過程現(xiàn)在在加密文件之前使用PowerShell腳本完成。

不過研究人員發(fā)現(xiàn)新的MountLocker中70%的代碼與以前的版本相同，包括不安全的Windows API函數(shù)GetTickCount，該惡意軟件可以生成一個隨機加密密鑰(會話密鑰)。

GetTickCount已經(jīng)被棄用，取而代之的是GetTickCount64。在其密碼建議列表中，微軟將這兩個函數(shù)都列為生成隨機數(shù)的不安全方法。

研究人員發(fā)現(xiàn)，使用GetTickCount API，通過強行破解找到加密密鑰的可能性很小。研究人員補充說，這一破解的成功取決于知道執(zhí)行勒索軟件時的時間戳計數(shù)器的值。

MountLocker使用ChaCha20流密碼對受感染計算機上的文件進行加密，然后使用嵌入在其代碼中的2048位RSA公鑰對會話密鑰進行加密。

傳播過程

與其他勒索軟件操作一樣，MountLocker開發(fā)人員也依賴關(guān)聯(lián)公司來攻擊公司網(wǎng)絡(luò)，他們使用的技術(shù)通常就是勒索軟件攻擊技術(shù)。

對MountLocker活動的調(diào)查顯示，攻擊者經(jīng)常通過具有受損憑據(jù)的遠程桌面(RDP)連接訪問受害者網(wǎng)絡(luò)。

在這些攻擊中，研究人員觀察到了Cobalt Strike信標和AdFind活動目錄查詢工具，以進行偵察并在網(wǎng)絡(luò)上橫向移動，而FTP則用于在加密階段之前竊取文件。

在BlackBerry分析的一個樣本中，MountLocker的子公司獲得了一名受害者的網(wǎng)絡(luò)訪問權(quán)限，并暫停了幾天受害者的運行活動，然后才恢復(fù)活動。

研究人員認為，MountLocker的攻擊已經(jīng)開始，已經(jīng)有攻擊者開始購買它了。

攻擊者在獲得勒索軟件后，花了大約24小時進行偵察、竊取文件、橫向移動并部署MountLocker。

研究人員表示，在來自MountLocker子公司的攻擊中，像這樣的快速操作是正常的，因為它們可以在數(shù)小時內(nèi)竊取數(shù)據(jù)并對網(wǎng)絡(luò)上的關(guān)鍵設(shè)備進行加密。

盡管這種勒索軟件很新，但這類勒索軟件顯然是為了賺大錢，并很可能會擴大業(yè)務(wù)以獲得最大利潤。

本文翻譯自：https://www.bleepingcomputer.com/news/security/mountlocker-ransomware-gets-slimmer-now-encrypts-fewer-files/如若轉(zhuǎn)載，請注明原文地址。