Die MountLocker-Ransomware verwendet die Windows-API, um im Netzwerk zu navigieren
Das MalwareHunterTeam-Team hat angekündigt eine neue Version der MountLocker-Ransomware, die eine wurmähnliche Funktion erworben hat und die Windows-API verwendet.
Die Ransomware MountLocker kann jetzt Unternehmens-APIs von Windows Active Directory verwenden, um in Netzwerken zu navigieren und andere Geräte zu verschlüsseln.
MountLocker wurde im Juli in Betrieb genommen 2020 als Dienstleistung (RaaS), wo Entwickler für die Erstellung von Ransomware-Software und einer Zahlungsseite verantwortlich sind, und verbundene Unternehmen sind eingeladen, sich in Unternehmen zu hacken und ihre Geräte zu verschlüsseln.
„Im Rahmen dieser Vereinbarung, das MountLocker-Kernteam erhält eine 20-30% Anteil des Buyouts und der Affiliate erhält den Rest“, — Journalisten Bleeping Computer erklärt.
März 2021, eine neue Ransomware-Gruppe namens Astro Locker entstand und begann mit der Verwendung einer angepassten Version der MountLocker-Ransomware mit Lösegeldnachrichten, die auf ihre eigenen Zahlungs- und Leckseiten verweisen.
Endlich, im Mai 2021, eine dritte Gruppe entstand namens XingLocker, die auch eine angepasste ausführbare MountLocker-Ransomware-Datei verwendet.
Diese Woche, MalwareHunterTeam hat ein Beispiel der neuen ausführbaren MountLocker-Datei geteilt und enthält eine neue Wurmfunktion, die es ermöglicht, sich auf andere Geräte im Netzwerk auszubreiten und Daten zu verschlüsseln.
“Diese Malware ist eine qualitative Verschiebung in der professionellen Entwicklung von Ransomware, um Unternehmensnetzwerke auszunutzen”, — MalwareHunterTeam sagte.
Die Malware verwendet zuerst den NetGetDCName () Funktion, um den Namen des Domänencontrollers zu erhalten. Es stellt dann LDAP-Anfragen an den ADS-Domänencontroller mit dem ADsOpenObject () Funktion mit den in der Befehlszeile angegebenen Anmeldeinformationen. Nach der Verbindung mit Active Directory-Diensten, die Ransomware durchsucht die Datenbank nach Objekten “Objektklasse = Computer”.
Für jedes gefundene Objekt, MountLocker versucht, die ausführbare Datei in den Ordner C$ProgramData auf dem Remote-Gerät zu kopieren. Die Ransomware erstellt dann aus der Ferne einen Windows-Dienst, der eine ausführbare Datei herunterlädt, um das Gerät weiter zu verschlüsseln.
Verwenden dieser API, Die Ransomware kann alle Geräte finden, die Teil der kompromittierten Windows-Domäne sind, und sie mit den gestohlenen Domänenanmeldeinformationen verschlüsseln.
“MountLocker ist die erste bekannte Ransomware, die einzigartige Unternehmensnetzwerkmuster verwendet, um zusätzliche Verschlüsselungsziele aufzudecken”, — Advanced Intel Director Vitali Kremez zu BleepingComputer.
Da Windows-Netzwerkadministratoren normalerweise diese API verwenden, der Angreifer, der den Code injiziert hat, hat wahrscheinlich Erfahrung mit der Verwaltung von Windows-Domänen, nach Meinung von Experten.
Obwohl diese API in anderer Malware wie TrickBot, Experten glauben, dass MountLocker als erster angesehen werden kann “professionelle Ransomware” um diese APIs zu verwenden, um Informationen und Weitergabe an andere Geräte durchzuführen.
Lesen Sie auch: NUSM-Virus – Wie zu entfernen?