Mount Locker: فدية مزدوجة تمكّن المتسللين”
اكتسبت برنامج Mountlocker Ransomware ، الذي بدأ فقط في إجراء الجولات في يوليو 2020 ، سمعة سيئة بالفعل لسرقة الملفات قبل التشفير والمبالغ الفدية المطلوبة بالملايين لمنع الإفصاح العام للبيانات المسروقة ، وهو تكتيك يُعرف باسم الابتزاز المزدوج
متابعات-ميكسي نيوز
Mount Locker…طورت سلالة فدية جديدة نسبيًا خلف سلسلة من الانتهاكات على شبكات الشركات إمكانات جديدة تسمح لها بتوسيع نطاق برنامجها الأمني والتهرب من التهرب – وكذلك مع قدرتها على شن هجمات الابتزاز المزدوجة.
اكتسبت برنامج Mountlocker Ransomware ، الذي بدأ فقط في إجراء الجولات في يوليو 2020 ، سمعة سيئة بالفعل لسرقة الملفات قبل التشفير والمبالغ الفدية المطلوبة بالملايين لمنع الإفصاح العام للبيانات المسروقة ، وهو تكتيك يُعرف باسم الابتزاز المزدوج.
“من الواضح أن مشغلي Mountlocker يتربدون فقط. بعد بداية بطيئة في يوليو ، يكتسبون أرضًا سريعة ، حيث إن الطبيعة البارزة في الابتزاز وتسرب البيانات تدفع متطلبات فدية أعلى من أي وقت مضى ،” بلاك بيري وقال فريق البحث والمخابرات.
“عادةً ما تكون الشركات التابعة لجبل Mountlocker مشغليين سريعين ، وتنزع الوثائق الحساسة بسرعة وتشفيرها عبر الأهداف الرئيسية في غضون ساعات.”
ينضم Mountlocker أيضًا إلى أمثال عائلات Ransomware الأخرى مثل Maze (والتي اغلق عملياتها في الشهر الماضي) التي تدير موقع ويب على شبكة الويب المظلمة لتسمية وضحايا العار وتوفر روابط للبيانات التي تم تسريبها.
حتى الآن ، ادعى فريق Ransomware خمسة ضحايا ، على الرغم من أن الباحثين يشتبهون في أن الرقم قد يكون “أكبر بكثير”.
تم تقديم Mountlocker كـ Ransomware-As-A-Service (RAAS) ، وتم نشره بشكل ملحوظ في وقت سابق من شهر أغسطس ضد شركة الأمن السويدية Gunnebo.
على الرغم من أن الشركة قالت إنها قد أحبطت بنجاح هجوم الفدية ، إلا أن المجرمين الذين قاموا بتنظيم التسلل انتهى بهم المطاف إلى السرقة والنشر عبر الإنترنت 18 جيجابت من المستندات الحساسة، بما في ذلك مخططات قبو بنك العميل وأنظمة المراقبة ، في أكتوبر.
الآن وفقًا لتحليل BlackBerry ، فإن ممثلي التهديدات وراء الحملات التابعة المتعلقة بـ Mountlocker تستفيد من سطح المكتب البعيد (RDP) مع بيانات اعتماد معرضة للخطر للحصول على موطئ قدم أولي على بيئة الضحية-وهو أمر لوحظ فيه اختراق جونبو كذلك – وبعد ذلك قم بتثبيت أدوات لتنفيذ استطلاع الشبكة (ADFIND) ، ونشر البرامج الفدية وانتشارها بشكل جانبي عبر الشبكة ، والبيانات الحرجة المتأخرة عبر FTP.
الفدية في حد ذاتها خفيفة الوزن وفعالة. عند التنفيذ ، يشرع في إنهاء برنامج الأمان ، وتشفير التشفير باستخدام Chacha20 Cipher ، وقم بإنشاء ملاحظة Ransom ، والتي تحتوي على رابط بعنوان URL Tor .Onion للاتصال بالمجرمين عبر خدمة دردشة “Web Web” للتفاوض على سعر فك تشفير البرامج.
كما أنه يستخدم مفتاحًا عامًا مضمنًا لـ RSA-2048 لعرض مفتاح التشفير ، ويحذف نسخ ظلال الصوت لإحباط استعادة الملفات المشفرة ، وفي النهاية يزيل نفسه من القرص لإخفاء مساراته.
ومع ذلك ، يشير الباحثون إلى أن الفدية تستخدم أ غير آمن تشفير طريقة تسمى getTickCount API لتوليد المفاتيح الذي قد يكون عرضة لهجوم القوة الغاشمة.
قائمة Mountlocker لأهداف التشفير واسعة النطاق ، مع دعم لأكثر من 2600 ملحقات الملفات التي تمتد إلى قواعد البيانات ، والمستندات ، والمحفوظات ، والصور ، وبرامج المحاسبة ، وبرامج الأمان ، والرمز المصدر ، والألعاب ، والنسخ الاحتياطية. يتم ترك الملفات القابلة للتنفيذ مثل .exe و .dll و .sys دون أن تمسها.
هذا ليس كل شيء. يخطو أحد المتغيرات الجديدة من Mountlocker في أواخر نوفمبر (يطلق عليها اسم “الإصدار 2”) خطوة إلى الأمام عن طريق إسقاط قائمة الامتدادات التي سيتم تضمينها للتشفير لصالح قائمة استبعاد هزيل: .exe ،.
وخلص الباحثون إلى أن “منذ إنشائها ، شوهدت مجموعة Mountlocker على توسيع وتحسين خدماتها والبرامج الضارة”. “في حين أن قدراتهم الحالية ليست متقدمة بشكل خاص ، فإننا نتوقع أن تستمر هذه المجموعة في التطور والنمو على المدى القصير.”
