Một chủng loại ransomware tương đối mới đằng sau hàng loạt vụ vi phạm trên các mạng công ty đã phát triển các khả năng mới cho phép nó mở rộng phạm vi nhắm mục tiêu và trốn tránh phần mềm bảo mật — cũng như khả năng cho các chi nhánh của nó thực hiện các cuộc tấn công tống tiền kép.
Phần mềm ransomware MountLocker, chỉ mới bắt đầu hoạt động vào tháng 7 năm 2020, đã nổi tiếng vì ăn cắp tệp trước khi mã hóa và đòi số tiền chuộc lên tới hàng triệu USD để ngăn chặn việc tiết lộ công khai dữ liệu bị đánh cắp, một chiến thuật được gọi là tống tiền gấp đôi.
“Các nhà điều hành MountLocker rõ ràng chỉ đang nóng lên. Sau khởi đầu chậm chạp vào tháng 7, họ đang nhanh chóng có được vị thế, do tính chất phổ biến của tống tiền và rò rỉ dữ liệu khiến nhu cầu tiền chuộc ngày càng cao”, các nhà nghiên cứu từ BlackBerry Nhóm Nghiên cứu và Tình báo cho biết.
“Các chi nhánh của MountLocker thường là những nhà khai thác nhanh, nhanh chóng lấy ra các tài liệu nhạy cảm và mã hóa chúng qua các mục tiêu chính trong vài giờ.”
MountLocker cũng tham gia cùng các dòng ransomware khác như Maze ( tắt hoạt động của nó vào tháng trước) vận hành một trang web trên dark web để đặt tên và làm xấu hổ nạn nhân và cung cấp liên kết đến dữ liệu bị rò rỉ.
Cho đến nay, ransomware đã cướp đi sinh mạng của 5 nạn nhân, mặc dù các nhà nghiên cứu nghi ngờ con số này có thể “lớn hơn nhiều”.
Được cung cấp dưới dạng Ransomware-as-a-Service (RaaS), MountLocker đã được triển khai vào đầu tháng 8 này để chống lại công ty bảo mật Thụy Điển Gunnebo.
Mặc dù công ty cho biết họ đã ngăn chặn thành công cuộc tấn công bằng ransomware, nhưng những tên tội phạm điều khiển cuộc xâm nhập cuối cùng vẫn ăn cắp và xuất bản trực tuyến 18 gigabyte tài liệu nhạy cảm, bao gồm cả sơ đồ kho tiền của ngân hàng khách hàng và hệ thống giám sát, vào tháng 10.
Hiện tại theo phân tích của BlackBerry, các tác nhân đe dọa đằng sau các chiến dịch liên kết liên quan đến MountLocker đã tận dụng máy tính để bàn từ xa (RDP) với thông tin đăng nhập bị xâm phạm để đạt được chỗ đứng ban đầu trong môi trường của nạn nhân – điều đã được quan sát thấy trong Gunnebo’s hack cũng như – và sau đó triển khai các công cụ để thực hiện trinh sát mạng (AdFind), triển khai ransomware và lây lan theo chiều ngang trên mạng, và lấy dữ liệu quan trọng qua FTP.
Bản thân ransomware có dung lượng nhẹ và hiệu quả. Sau khi thực thi, nó sẽ tiến hành chấm dứt phần mềm bảo mật, kích hoạt mã hóa bằng cách sử dụng ChaCha20 mật mã và tạo ghi chú đòi tiền chuộc, trong đó có liên kết đến URL .onion Tor để liên hệ với bọn tội phạm thông qua dịch vụ trò chuyện “dark web” để thương lượng giá cho phần mềm giải mã.
Nó cũng sử dụng khóa công khai RSA-2048 được nhúng để mã hóa khóa mã hóa, xóa các bản sao ổ đĩa để ngăn chặn việc khôi phục các tệp được mã hóa và cuối cùng tự xóa bản thân khỏi đĩa để ẩn dấu vết của nó.
Tuy nhiên, các nhà nghiên cứu chỉ ra rằng phần mềm tống tiền sử dụng mật mã không an toàn phương pháp được gọi là GetTickCount API cho thế hệ khóa có thể dễ bị tấn công bạo lực.
Danh sách các mục tiêu mã hóa của MountLocker rất phong phú, với sự hỗ trợ hơn 2600 phần mở rộng tệp bao gồm cơ sở dữ liệu, tài liệu, lưu trữ, hình ảnh, phần mềm kế toán, phần mềm bảo mật, mã nguồn, trò chơi và các bản sao lưu. Các tệp thực thi như .exe, .dll và .sys được giữ nguyên.
Đó chưa phải là tất cả. Một biến thể mới của MountLocker được phát hiện vào cuối tháng 11 (được gọi là “phiên bản 2”) tiến thêm một bước nữa bằng cách loại bỏ danh sách các tiện ích mở rộng được bao gồm để mã hóa thay cho danh sách loại trừ gọn nhẹ: .exe, .dll, .sys, .msi , .mui, .inf, .cat, .bat, .cmd, .ps1, .vbs, .ttf, .fon và .lnk.
Các nhà nghiên cứu kết luận: “Kể từ khi thành lập, nhóm MountLocker đã được coi là mở rộng và cải thiện các dịch vụ cũng như phần mềm độc hại của họ. “Mặc dù năng lực hiện tại của họ không phải là đặc biệt tiên tiến, chúng tôi kỳ vọng nhóm này sẽ tiếp tục phát triển và phát triển vượt bậc trong thời gian ngắn.”
