MountLocker 勒索软件使用 Windows API 来导航网络

MalwareHunterTeam 团队 已经宣布 新版本的 MountLocker 勒索软件获得了类似蠕虫的功能并使用了 Windows API.

MountLocker 勒索软件现在可以使用 Windows Active Directory 公司 API 来导航网络和加密其他设备.

MountLocker 于 7 月开始运作 2020 作为服务 (基础设施即服务), 开发人员负责构建勒索软件和支付网站, 和附属公司被邀请入侵企业并加密他们的设备.

“作为这项安排的一部分, MountLocker 核心团队收到了 20-30% 买断的份额，附属公司获得其余的“, — 记者 Bleeping Computer 解释.

三月 2021, 一个名为 Astro Locker 的新勒索软件组织出现并开始使用 MountLocker 勒索软件的定制版本，其中勒索消息指向他们自己的支付和泄漏站点.

最后, 在五月 2021, 出现了第三组，称为 XingLocker, 它还使用自定义的 MountLocker 勒索软件可执行文件.

本星期, MalwareHunterTeam 分享了一个被认为是新的 MountLocker 可执行文件的示例，其中包含一个新的蠕虫功能，允许它在网络上的其他设备上传播并加密数据.

“这种恶意软件是勒索软件专业开发利用企业网络的质变”, — MalwareHunterTeam 告诉.

恶意软件首先使用 NetGetDCName () 获取域控制器名称的函数. 然后它使用 ADsOpenObject 向 ADS 域控制器发出 LDAP 请求 () 使用命令行上提供的凭据运行. 连接到 Active Directory 服务后, 勒索软件在数据库中搜索对象 “对象类 = 计算机”.

对于找到的每个对象, MountLocker 将尝试将可执行文件复制到远程设备上的 C$ProgramData 文件夹. 然后勒索软件会远程创建 Windows 服务，该服务会下载可执行文件以继续对设备进行加密.

使用这个 API, 勒索软件可以找到属于受感染 Windows 域的所有设备，并使用被盗的域凭据对其进行加密.

“MountLocker 是第一个已知的勒索软件，它使用独特的企业网络模式来发现其他加密目标”, — 英特尔高级总监 Vitali Kremez 对 BleepingComputer 说.

因为 Windows 网络管理员通常使用这个 API, 注入代码的攻击者可能有管理 Windows 域的经验, 据专家介绍.

虽然这个 API 已经出现在其他恶意软件中，比如 TrickBot, 专家认为 MountLocker 可能是第一个 “专业勒索软件” 使用这些 API 执行智能并传播到其他设备.

另请阅读: NUSM病毒 – 如何删除?