Программа-вымогатель MountLocker стала тоньше, теперь шифрует меньше файлов

программа, mountlocker, шифровать, файлов

Программа-вымогатель MountLocker недавно получила обновление, которое сократило его размер вдвое, но сохранило уязвимость, которая потенциально может позволить узнать случайный ключ, используемый для шифрования файлов.

Эта операция вымогателя началась в июле 2020 года и нацелена на корпоративные сети. Его операторы крадут данные перед их шифрованием и угрожают жертвам утечки файлов, если их требования многомиллионного выкупа не будут выполнены.

Обрезанный новый вариант

Во второй половине ноября, вторая версия, исследователи вредоносных программ увидели вторую версию MountLocker в дикой природе с подсказками, что ее операторы готовятся к налоговому сезону.

Исследование Виталия Кремеза, реверс-инженера и генерального директора Advanced Intelligence (AdvIntel), показывает, что разработчики программ-вымогателей добавили расширения файлов (.tax.tax2009.tax2013.tax2014), связанные с программным обеспечением TurboTax, для подготовки документов налоговой декларации.

В опубликованном сегодня техническом анализе BlackBerry Research and Intelligence Team отмечает, что новый вариант MountLocker поставляется с отметкой времени компиляции от 6 ноября.

Разработчики вредоносного ПО уменьшили размер 64-битного варианта вредоносного ПО до 46 КБ, что примерно на 50% меньше, чем у предыдущей версии. Для этого они удалили список расширений файлов с более чем 2600 записями, предназначенными для шифрования.

READ  Будущее; Яблочное стекло; оборудование могло выдавливать 3D AR; VR-контент из плоских видео

Теперь он нацелен на гораздо меньший список, который исключает легко заменяемые типы файлов:.EXE.DLL.SYS.MSI.MUI.INF.CAT.BAT.CMD.PS1.VBS.TTF.FON.LNK.

Новый код очень похож на старый, самое большое изменение. это процесс удаления теневых копий тома и завершения процессов, который теперь выполняется с помощью сценария PowerShell перед шифрованием файлов.

Порок

BlackBerry заявляет, что 70% кода в новом MountLocker такое же, как и в предыдущей версии, включая небезопасную функцию Windows API GetTickCount вредоносным ПО для генерации случайного ключа шифрования (сеансового ключа).

GetTickCount устарел в пользу GetTickCount64. В своем списке рекомендаций по криптографии Microsoft перечисляет обе функции как небезопасные методы генерации случайных чисел.

BlackBerry заявляет, что использование API GetTickCount предлагает «небольшую возможность» для поиска ключей шифрования с помощью перебора.

Исследователи добавляют, что успех этого начинания зависит от знания значения счетчика метки времени во время выполнения программы-вымогателя.

MountLocker шифрует файлы на зараженных компьютерах с помощью потокового шифра ChaCha20, а затем сеансовый ключ шифруется 2048-битным открытым ключом RSA, встроенным в его код.

READ  Программа Для Перепрошивки Телефона Через Компьютер

Входить и разноситься

Как и в случае с другими программами-вымогателями, разработчики MountLocker полагаются на аффилированные лица для взлома корпоративных сетей. Методы, которые они используют, обычно используются в атаках программ-вымогателей.

Исследование BlackBerry кампаний MountLocker показало, что субъекты часто получают доступ к сети жертвы через подключение к удаленному рабочему столу (RDP) со скомпрометированными учетными данными.

В этих атаках наблюдались маяки Cobalt Strike и инструмент запроса активного каталога AdFind для разведки и горизонтального перемещения по сети, в то время как FTP использовался для кражи файлов до стадии шифрования.

В инциденте, проанализированном BlackBerry, филиал MountLocker получил доступ к сети жертвы и приостановил работу на несколько дней перед возобновлением деятельности.

Исследователи считают, что злоумышленник сидит на месте, потому что они вели переговоры с разработчиками о присоединении к партнерской программе.

После получения программы-вымогателя злоумышленнику потребовалось около 24 часов, чтобы провести разведку, украсть файлы, переместиться вбок и развернуть MountLocker.

Исследователи BlackBerry говорят, что быстрые операции, подобные этой, являются нормальным явлением для атак со стороны филиалов MountLocker, поскольку они могут украсть данные и зашифровать ключевые машины в сети за часы.

READ  Как Перенести Программы С Iphone На Айфон

Несмотря на то, что эта разновидность программ-вымогателей является новой, она явно гонится за большими деньгами и, вероятно, расширит операции для получения максимальной прибыли. Его сайт утечки в настоящее время перечисляет несколько жертв, которые не заплатили, но их число намного больше.

Даже если стоящая за ним группа на данный момент не «особенно продвинута», исследователи ожидают, что она продолжит свои усилия в краткосрочной перспективе.