Una variedad de ransomware relativamente nueva detrás de una serie de brechas en las redes corporativas ha desarrollado nuevas capacidades que le permiten ampliar el alcance de su objetivo y evadir el software de seguridad, así como la capacidad de sus afiliados para lanzar ataques de doble extorsión.
El ransomware, que comenzó a circular en julio de 2020, ya ha ganado notoriedad por robar archivos antes del cifrado y exigir cantidades de rescate por millones para evitar la divulgación pública de datos robados, está táctica es conocida como doble extorsión. Después de un comienzo lento en julio, están ganando terreno rápidamente, ya que la naturaleza de alto perfil de la extorsión y las filtraciones de datos aumentan las demandas de rescate, MountLocker también se une a otras familias de ransomware como Maze, que opera un sitio web en la web oscura para nombrar y avergonzar a las víctimas y proporcionar enlaces a datos filtrados.
Hasta la fecha, el ransomware se ha cobrado cinco víctimas, aunque los investigadores sospechan que el número podría ser "mucho mayor" Ofrecido como Ransomware-as-a-Service (RaaS), MountLocker se implementó notablemente a principios de agosto contra la firma de seguridad sueca Gunnebo.
Aunque la compañía dijo que había frustrado con éxito el ataque de ransomware, los delincuentes terminaron robando y publicando en línea 18 gigabytes de documentos confidenciales, incluidos esquemas de bóvedas de bancos, clientes y sistemas de vigilancia, en el mes de octubre.
Ahora, según el análisis de BlackBerry, los actores de amenazas detrás de las campañas de afiliados relacionadas con MountLocker aprovecharon el escritorio remoto (RDP) con credenciales comprometidas para obtener un punto de apoyo inicial en el entorno de la víctima, algo que también se observó en el hack de Gunnebo, y posteriormente instalar herramientas para llevar a cabo reconocimiento de red (AdFind), implementar el ransomware y distribuir lateralmente a través de la red, y exfiltrar datos críticos a través de FTP. El ransomware en sí mismo es liviano y eficiente, tras la ejecución, procede a finalizar el software de seguridad, activar el cifrado mediante el cifrado #ChaCha2020 y crear una nota de rescate, que contiene un enlace a una URL Tor.onion para contactar a los delincuentes a través de un servicio de chat de "web oscura" para negociar un precio por descifrar software.
La lista de objetivos de cifrado de MountLocker es extensa, con soporte para más de 2600 extensiones de archivos que abarcan bases de datos, documentos, archivos, imágenes, software de contabilidad, software de seguridad, código fuente, juegos y copias de seguridad. Los archivos ejecutables como .exe, .dll y .sys no se modifican.
Los afiliados de MountLocker suelen ser operadores rápidos, que filtran rápidamente documentos confidenciales y los cifran en objetivos clave en cuestión de horas, es por ello que #SATELITE pone a su disposición sus soluciones para mantener segura su información y la de sus empleados.
Para más información y asesoría especializada visite nuestra web en donde compartimos información y soluciones de Seguridad de la Información de su interés https://www.satelite-ec.com/