MountLocker ランサムウェアは Windows API を使用してネットワークをナビゲートします

MalwareHunterTeam チーム 発表しました ワームのような機能を獲得し、Windows API を使用する新しいバージョンの MountLocker ランサムウェア.

MountLocker ランサムウェアは、Windows Active Directory の企業 API を使用してネットワークをナビゲートし、他のデバイスを暗号化できるようになりました。.

MountLockerは7月に稼働を開始しました 2020 サービスとして (RaaS), 開発者がランサムウェア ソフトウェアと支払いサイトの構築を担当する場合, および関連会社は、企業に侵入してデバイスを暗号化するように招待されます.

「この取り決めの一環として, MountLocker コア チームは、 20-30% 買収のシェアとアフィリエイトが残りを受け取る」, — ジャーナリスト Bleeping Computer 説明した.

3月 2021, Astro Locker と呼ばれる新しいランサムウェア グループが出現し、カスタマイズされたバージョンの MountLocker ランサムウェアの使用を開始しました。.

最後に, 5月 2021, XingLocker と呼ばれる 3 番目のグループが出現しました。, カスタマイズされた MountLocker ランサムウェア実行可能ファイルも使用します.

今週, MalwareHunterTeam は、新しい MountLocker 実行可能ファイルと見なされるサンプルを共有しました。これには、ネットワーク上の他のデバイスに拡散してデータを暗号化できる新しいワーム機能が含まれています。.

“このマルウェアは、企業ネットワークを悪用するランサムウェアの専門的な開発における質的な変化です。”, — MalwareHunterTeam 言った.

マルウェアは最初に NetGetDCName を使用します。 () ドメインコントローラーの名前を取得する関数. 次に、ADsOpenObject を使用して ADS ドメイン コントローラに LDAP 要求を行います。 () コマンド ラインで指定された資格情報を使用した関数. Active Directory サービスに接続した後, ランサムウェアはデータベースでオブジェクトを検索します “オブジェクトクラス = コンピューター”.

見つかったオブジェクトごとに, MountLocker は、実行可能ファイルをリモート デバイスの C$ProgramData フォルダーにコピーしようとします。. ランサムウェアは、実行可能ファイルをダウンロードしてデバイスの暗号化を継続する Windows サービスをリモートで作成します。.

この API の使用, ランサムウェアは、侵害された Windows ドメインの一部であるすべてのデバイスを検出し、盗んだドメイン資格情報を使用してそれらを暗号化できます。.

“MountLocker は、独自の企業ネットワーク パターンを使用して追加の暗号化ターゲットを発見する最初の既知のランサムウェアです。”, — 高度な Intel ディレクター Vitali Kremez から BleepingComputer へ.

Windows ネットワーク管理者は通常、この API を使用するため, コードを挿入した攻撃者は、Windows ドメインの管理経験がある可能性が高い, 専門家によると.

この API は TrickBot などの他のマルウェアでも確認されていますが、, 専門家は、MountLocker が最初のものと見なされる可能性があると考えています。 “プロのランサムウェア” これらの API を使用してインテリジェンスを実行し、他のデバイスに伝達する.

また読む: NUSMウイルス – 削除する方法?