MountLocker 랜섬웨어는 Windows API를 사용하여 네트워크를 탐색합니다.

MalwareHunterTeam 팀 발표했다 웜과 유사한 기능을 획득하고 Windows API를 사용하는 새로운 버전의 MountLocker 랜섬웨어.

MountLocker 랜섬웨어는 이제 Windows Active Directory 회사 API를 사용하여 네트워크를 탐색하고 다른 장치를 암호화 할 수 있습니다..

MountLocker는 7 월에 운영되기 시작했습니다. 2020 서비스로 (RaaS), 개발자가 랜섬웨어 소프트웨어 및 결제 사이트 구축을 담당하는 곳, 계열사는 비즈니스를 해킹하고 장치를 암호화하도록 초대됩니다..

"이 협정의 일환으로, MountLocker 핵심 팀은 20-30% 바이아웃의 몫과 계열사가 나머지를 받습니다.", — 기자 블리핑 컴퓨터 또한 중국 당국이 이 책의 저자를 체포했다는 사실도 확인했습니다..

3월 2021, Astro Locker라는 새로운 랜섬웨어 그룹이 등장하여 자체 지불 및 누출 사이트를 가리키는 랜섬 메시지와 함께 맞춤형 버전의 MountLocker 랜섬웨어를 사용하기 시작했습니다..

최종적으로, 5월에 2021, XingLocker라는 세 번째 그룹이 등장했습니다., 또한 맞춤형 MountLocker 랜섬웨어 실행 파일을 사용합니다..

이번 주, MalwareHunterTeam은 새로운 MountLocker 실행 파일로 간주되는 샘플을 공유했으며 네트워크의 다른 장치에 확산되고 데이터를 암호화할 수 있는 새로운 웜 기능이 포함되어 있습니다..

“이 악성코드는 기업 네트워크를 악용하기 위한 전문적인 랜섬웨어 개발의 질적 변화입니다.”, — MalwareHunterTeam 말했다.

멀웨어는 먼저 NetGetDCName을 사용합니다. () 도메인 컨트롤러의 이름을 가져오는 함수. 그런 다음 ADsOpenObject를 사용하여 ADS 도메인 컨트롤러에 LDAP 요청을 만듭니다. () 명령줄에 제공된 자격 증명을 사용하는 함수. Active Directory 서비스에 연결한 후, 랜섬웨어는 데이터베이스에서 개체를 검색합니다. “객체 클래스 = 컴퓨터”.

발견된 각 개체에 대해, MountLocker는 실행 파일을 원격 장치의 C$ProgramData 폴더에 복사하려고 시도합니다.. 그런 다음 랜섬웨어는 실행 파일을 다운로드하여 장치를 계속 암호화하는 Windows 서비스를 원격으로 생성합니다..

이 API 사용, 랜섬웨어는 손상된 Windows 도메인의 일부인 모든 장치를 찾아 도난당한 도메인 자격 증명을 사용하여 암호화할 수 있습니다..

“MountLocker는 고유한 기업 네트워크 패턴을 사용하여 추가 암호화 대상을 발견한 최초의 알려진 랜섬웨어입니다.”, — BleepingComputer의 고급 Intel 이사 Vitali Kremez.

Windows 네트워크 관리자는 일반적으로 이 API를 사용하기 때문에, 코드를 삽입한 공격자는 Windows 도메인을 관리한 경험이 있을 수 있습니다., 전문가에 따르면.

이 API는 TrickBot과 같은 다른 악성 코드에서 볼 수 있지만, 전문가들은 MountLocker가 첫 번째로 간주될 수 있다고 생각합니다. “전문적인 랜섬웨어” 이러한 API를 사용하여 인텔리전스를 수행하고 다른 장치로 전파.

또한 읽기: NUSM 바이러스 – 제거하는 방법?