Sophos verbindet Mount Locker mit Astro Locker Ransomware

Cyber Security News

Sicherheitsexperten haben in einem neuen Report, der für Incident Responder von Interesse sein wird, eine Reihe von engen Verbindungen zwischen den Ransomware-Gruppen Mount Locker und Astro Locker Team aufgedeckt.

Das Managed Threat Response (MTR)-Team von Sophos sagte, dass es kürzlich mit einem Angriff zu tun hatte, der alle TTPs einer Mount Locker-Operation aufwies. Als es jedoch dem Link in der Lösegeldforderung folgte, wurden die Forscher von einem “Support”-Team empfangen, das sich als “Astro Locker Team” vorstellte.

Bei einer weiteren Untersuchung stellte das MTR fest, dass alle fünf Opferorganisationen, die auf der Astro Locker Team-Leckseite aufgeführt waren, auch auf der entsprechenden Mount Locker-Seite zu finden waren. Es wurde auch festgestellt, dass einige der durchgesickerten Daten, die auf der Mount Locker-Website verlinkt waren, auf der Astro Locker-Zwiebel-Website gehostet wurden.

“Bei den jüngsten Vorfällen, bei denen Sophos Experten einen aktiven Mount Locker-Angriff untersucht und neutralisiert haben, sind uns verschiedene Techniken aufgefallen, die darauf hindeuten, dass diese Angreifer nicht so raffiniert sind wie andere Ransomware-Gruppen wie Ryuk, REvil und DoppelPaymer”, sagt Peter Mackenzie, Manager des Rapid Response Teams bei Sophos.

“Es ist möglich, dass sich die Mount Locker-Gruppe einen neuen Namen geben will, um ein neues und professionelleres Image zu schaffen, oder es könnte ein Versuch sein, ein echtes Ransomware-as-a-Service (RaaS)-Programm zu starten. Unabhängig davon sollten Organisationen, die in Zukunft Opfer von Astro Locker werden, die TTPs sowohl von Mount Locker als auch von Astro Locker untersuchen.”

Mackenzie argumentierte, dass Mount Locker den Astro-Namen verwenden könnte, um vorzutäuschen, dass die Gruppe eine große neue Tochtergesellschaft für ihr neues RaaS-Programm hat, oder es könnte ein legitimer Deal sein, der den Übergang zu einem RaaS-Betrieb beschleunigen soll.

“Branding ist eine mächtige Kraft für Ransomware-Gruppen. Ein gutes Branding kann von einer einzelnen Bedrohungsgruppe ausgehen, die geschickt darin ist, hochwertige Ziele anzugreifen und eine Entdeckung zu vermeiden – wie DoppelPaymer – oder ein erfolgreiches RaaS-Netzwerk zu betreiben – wie Sodinokibi oder Egregor. Ein starkes Branding mit Ransomware-Gruppen kann Ziele in Angst und Schrecken versetzen und zu einer höheren Auszahlungswahrscheinlichkeit führen”, so sein Fazit.

“Mount Locker hat sich als eine weniger ausgefeilte Ransomware-Gruppe erwiesen, daher könnte ein Wechsel zu einem Partnerprogramm eine Möglichkeit sein, eine neue Marke zu schaffen und in der Hierarchie der Bedrohungsgruppen aufzusteigen.”

Sophos behauptet außerdem, dass Mount Locker möglicherweise einige Back-End-Dienste mit der Ragnar Locker-Gruppe teilt, obwohl letztere noch nicht Teil des RaaS-Programms zu sein scheint.

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com