MountLocker ransomware utiliza la API de Windows para navegar por la red
El equipo de MalwareHunterTeam ha anunciado una nueva versión del ransomware MountLocker que ha adquirido una función similar a un gusano y utiliza la API de Windows.
MountLocker ransomware ahora puede usar las API corporativas de Windows Active Directory para navegar por redes y cifrar otros dispositivos.
MountLocker comenzó a operar en julio 2020 como servicio (RaaS), donde los desarrolladores son responsables de crear software de ransomware y un sitio de pago, y los afiliados están invitados a piratear empresas y cifrar sus dispositivos.
"Como parte de este arreglo, el equipo central de MountLocker recibe un 20-30% participación de la compra y el afiliado recibe el resto ", - Periodistas Bleeping Computer explicado.
En marzo 2021, surgió un nuevo grupo de ransomware llamado Astro Locker y comenzó a usar una versión personalizada del ransomware MountLocker con mensajes de rescate que apuntaban a sus propios sitios de pago y filtración.
Finalmente, En Mayo 2021, surgió un tercer grupo llamado XingLocker, que también utiliza un ejecutable de ransomware MountLocker personalizado.
Esta semana, MalwareHunterTeam compartió una muestra de lo que se considera el nuevo ejecutable MountLocker y contiene una nueva función de gusano que le permite propagarse a otros dispositivos en la red y cifrar datos..
“Este malware es un cambio cualitativo en el desarrollo profesional de ransomware para explotar las redes corporativas.”, - MalwareHunterTeam dijo.
El malware primero usa NetGetDCName () función para obtener el nombre del controlador de dominio. Luego realiza solicitudes LDAP al controlador de dominio ADS utilizando ADsOpenObject () funcionar con las credenciales proporcionadas en la línea de comando. Después de conectarse a los servicios de Active Directory, el ransomware busca objetos en la base de datos “objectclass = computadora”.
Por cada objeto encontrado, MountLocker intentará copiar el archivo ejecutable a la carpeta C $ ProgramData en el dispositivo remoto. Luego, el ransomware crea de forma remota un servicio de Windows que descarga un archivo ejecutable para continuar cifrando el dispositivo..
Usando esta API, el ransomware puede encontrar todos los dispositivos que forman parte del dominio de Windows comprometido y cifrarlos con las credenciales de dominio robadas.
“MountLocker es el primer ransomware conocido que utiliza patrones de red corporativos únicos para descubrir objetivos de cifrado adicionales”, - Advanced Intel Director Vitali Kremez a BleepingComputer.
Porque los administradores de red de Windows suelen utilizar esta API, el atacante que inyectó el código probablemente tenga alguna experiencia en la administración de dominios de Windows, según los expertos.
Aunque esta API se ha visto en otro malware como TrickBot, los expertos creen que MountLocker puede considerarse el primer “ransomware profesional” utilizar estas API para realizar inteligencia y propagación a otros dispositivos.
Leer también: Virus NUSM – Como remover?