Mount Locker Ransomware ändert aggressiv ihre Taktik

Cyber Security News

Die Ransomware steigert ihren Gefahrenquotienten mit neuen Funktionen und signalisiert gleichzeitig ein Rebranding in “AstroLocker”.

Die Mount Locker Ransomware hat in den letzten Kampagnen mit ausgefeilteren Skripting- und Anti-Prevention-Funktionen für Aufruhr gesorgt, so die Forscher. Und die Änderung der Taktik scheint mit einer Umbenennung der Malware in “AstroLocker” zusammenzufallen.

Den Forschern zufolge ist Mount Locker eine sich schnell bewegende Bedrohung. Nachdem die Gruppe erst in der zweiten Hälfte des Jahres 2020 in der Ransomware-as-a-Service-Szene aufgetaucht war, veröffentlichte sie im November ein größeres Update, das ihre Zielfähigkeiten erweiterte (einschließlich der Suche nach Dateierweiterungen, die von der TurboTax-Steuererklärungssoftware zur Verschlüsselung verwendet werden). Es fügte auch eine verbesserte Erkennungsumgehung hinzu. Die Angriffe sind weiter eskaliert, und nun signalisiert ein weiteres großes Update “eine aggressive Verschiebung in der Taktik von Mount Locker”, so eine am Donnerstag veröffentlichte Analyse von GuidePoint Security.

Mount Locker fügt Sicherheits-Evasion-Funktionen hinzu

Wie viele Ransomware-Banden sperren die Betreiber nicht nur Dateien, sondern stehlen auch Daten und drohen damit, sie preiszugeben, wenn das Lösegeld nicht gezahlt wird – ein doppelter Erpressungsversuch. Sie sind auch dafür bekannt, Lösegelder in Millionenhöhe zu fordern und besonders große Datenmengen (bis zu 400 GB) zu stehlen.

Was die technische Vorgehensweise betrifft, so verwendet Mount Locker laut GuidePoint handelsübliche, legitime Tools, um sich seitlich zu bewegen, Dateien zu stehlen und Verschlüsselung einzusetzen. Dazu gehört die Verwendung von AdFind und Bloodhound für die Active Directory- und Benutzererkundung, FTP für die Dateiexfiltration und das Pen-Testing-Tool CobaltStrike für laterale Bewegungen und die Bereitstellung und Ausführung von Verschlüsselung, möglicherweise über psExec.

Laden Sie “The Evolution of Ransomware” herunter, um wertvolle Einblicke in aufkommende Trends inmitten eines schnell wachsenden Angriffsvolumens zu erhalten. Klicken Sie oben, um Ihre Verteidigungsintelligenz zu verbessern!

“Nachdem die Umgebung gemappt, Backup-Systeme identifiziert und neutralisiert sowie Daten abgegriffen wurden, werden die Systeme mit zielspezifischer Ransomware verschlüsselt, die über die etablierten Command-and-Control-Kanäle (C2) zugestellt wird”, so Drew Schmitt, Senior Threat Intelligence Analyst bei GuidePoint, in der Analyse. “Diese Payloads enthalten ausführbare Dateien, Erweiterungen und eindeutige Opfer-IDs für die Bezahlung.”

Neuere Kampagnen haben die Sache mit neuen Batch-Skripten aufgepeppt, so die Forscher. Diese wurden entwickelt, um Erkennungs- und Präventions-Tools zu deaktivieren.

“[This] deutet darauf hin, dass Mount Locker seine Fähigkeiten ausbaut und zu einer gefährlicheren Bedrohung wird”, so Schmitt. “Diese Skripte waren nicht nur pauschale Schritte, um eine große Bandbreite an Tools zu deaktivieren, sondern sie waren angepasst und auf die Umgebung des Opfers ausgerichtet.”

Eine weitere Änderung in der Taktik der Gruppe besteht in der Verwendung mehrerer CobaltStrike-Server mit eindeutigen Domänen. Dies ist ein zusätzlicher Schritt, der bei der Umgehung der Erkennung hilft, aber Schmitt merkte an, dass dies nicht oft gesehen wird, weil es viel mehr Management erfordert, um es effektiv umzusetzen.

Biotech-Firmen im Visier von Cyberangriffen

[Blocked Image: https://alltechnews.de/daten/2021/04/Mount-Locker-Ransomware-aendert-aggressiv-ihre-Taktik.png]

Eine Mount Locker Lösegeldforderung. Zum Vergrößern anklicken. Quelle: GuidePoint Security.

Die Änderungen wurden von einem Anstieg der Mount-Locker-Angriffe begleitet, insbesondere von solchen, die auf Unternehmen in der biologischen Technologiebranche abzielen. Schmitt sagte, dass es einen Anstieg der Vorfälle in diesem Segment gab, was darauf hindeutet, dass möglicherweise eine größere Kampagne im Gange ist, die aggressiv auf mit dem Gesundheitswesen verbundene Branchen abzielt.

“Insbesondere Biotech-Unternehmen sind ein bevorzugtes Ziel für Ransomware, da sie in einer Branche tätig sind, die nicht nur viel Geld, sondern auch hochsensibles geistiges Eigentum besitzt”, erklärt Schmitt. “Darüber hinaus erhöhen Verbindungen zu anderen Forschungsorganisationen das Potenzial, den Ruf des Opfers in der Branche zu schädigen und die Geschäftsbeziehungen zu gefährden.”

Unternehmen aus dem Gesundheitswesen und der Biotechnologie sind ebenfalls bevorzugte Ziele, da sie am meisten zu verlieren haben, wenn der Betrieb zu lange unterbrochen wird oder kritisches geistiges Eigentum verloren geht, so Schmitt. Angreifer halten es daher für wahrscheinlicher, dass sie das geforderte Lösegeld schnell zahlen”, sagte er.

All dies ist passiert, während Mount Locker anscheinend in AstroLocker umbenannt wird. Schmitt wies darauf hin, dass “die Formulierungen und Opfer, die auf den Shaming-Seiten beider Varianten aufgeführt sind, sich stark überschneiden”. Er fügte hinzu: “Dies könnte ein Zeichen für eine Verschiebung der Gesamttaktik der Gruppe sein und ein Versuch, sich vollständig als heimtückischere Bedrohung zu profilieren.”

Unternehmen können in ihren Umgebungen nach Anzeichen für Mount Locker oder AstroLocker Ausschau halten, z. B. nach CobaltStrike-Stagern und Beacons, und sie sollten auf die Bereitstellung und Exfiltration von Dateien über FTP achten.

“Während dies immer ein Grund zur Besorgnis wäre, machen ein aktualisierter, aggressiverer Mount Locker und die dramatische Zunahme von Angriffen, die der Gruppe zugeschrieben werden, diese Indikatoren für eine Kompromittierung besonders alarmierend”, schloss Schmitt.

Laden Sie unser exklusives KOSTENLOSES Threatpost Insider eBook, “2021: The Evolution of Ransomware” (Die Entwicklung von Ransomware), um Ihre Cyber-Abwehrstrategien gegen diese wachsende Geißel zu verbessern. Wir gehen über den Status quo hinaus und decken auf, was als Nächstes auf Ransomware und die damit verbundenen neuen Risiken zukommt. Lesen Sie die ganze Geschichte und DOWNLOADen Sie das eBook jetzt – bei uns!

Einige Teile dieses Artikels stammen aus:
threatpost.com