3

Mount Locker勒索软件计划针对税务系统目标发起攻击

 3 years ago
source link: http://netsecurity.51cto.com/art/202102/645372.htm
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

从2020年7月底开始,Mount Locker就已经开始针对各个大型企业网络进行渗透攻击,并部署勒索软件。跟其他勒索软件一样,Mount Locker会在对目标用户的文件进行加密之前,先窃取用户文件,然后再去跟目标用户索要数百万美元的赎金。11月,瑞典领先的安全公司Gunnebo AB就遭受了Mount Locker攻击,黑客已将盗窃的数据发布到了暗网上。据报道,该公司的服务器早在2020年8月遭到破坏,Gunnebo成立于1889年,后来成为欧洲银行安全解决方案的领先提供商,包括安全存储,现金管理和入口控制系统。该公司首席执行官斯特凡·塞伦(StefanSyrén)透露,这次袭击是高度组织的,Mount Locker勒索软件组织要求向BTC勒索赎金。但是,该公司拒绝支付赎金,而是将事件报告给了瑞典安全局Spo。然后,Mount Locker勒索软件组将大约38000个文件上传到公共服务器。

目前Mount Locker现已加入百万级别勒索软件家族,不过MountLocker勒索软件最近收到了一个更新,该更新将其大小减小了一半,但仍保留了一个学习模块,该模块有可能允许学习用于加密文件的随机密钥。

瘦身计划

在11月下半月,恶意软件研究人员在野外看到了第二版的MountLocker,它的开发人员正在积极为下一次攻击做准备。

高级情报公司(AdvIntel)的反向工程师兼首席执行官维塔利·克莱米兹(Vitali Kremez)的研究表明,勒索软件开发人员添加了与TurboTax软件关联的文件扩展名(.tax,.tax2009,.tax2013,.tax2014),以准备发起基于针对税务系统的攻击。TurboTax是一款非常好用的税收类的软件,可以为用户们提供最为合理的指导,以便更好的帮助用户们做出正确的决策,同时,软件操作也是十分的简单,无任何复杂的操作,哪怕是什么都不会的用户们也是可以轻松的像专业人士一样使用。该软件可帮助用户自动导入用户的投资信息和税收数据,涵盖股票,债券,ESPP,机器人投资,加密货币,租赁物业收入等,并能自动搜索400多种税收减免和抵免额,以查找您符合资格的每个税收优惠。

在最近发布的技术分析中,BlackBerry Research and Intelligence Team指出,新的MountLocker版本将从11月6日开始编译。

恶意软件开发人员将64位恶意软件的大小减少到46KB,比之前的版本小了约50%。为了达到这个目的,他们删除了文件扩展名列表,其中有2600多个要加密的密钥。

现在,它的目标是一个较小的列表,该列表排除了易于替换的文件类型:.EXE,.DLL,.SYS,.MSI,.MUI,.INF,.CAT,.BAT,.CMD,.PS1,.VBS,.TTF, .FON,.LNK。

新代码与旧代码非常相似,最大的变化是删除卷影副本和终止进程的过程,该过程现在在加密文件之前使用PowerShell脚本完成。

ziMziqi.png!mobile

不过研究人员发现新的MountLocker中70%的代码与以前的版本相同,包括不安全的Windows API函数GetTickCount,该恶意软件可以生成一个随机加密密钥(会话密钥)。

GetTickCount已经被弃用,取而代之的是GetTickCount64。在其密码建议列表中,微软将这两个函数都列为生成随机数的不安全方法。

研究人员发现,使用GetTickCount API,通过强行破解找到加密密钥的可能性很小。研究人员补充说,这一破解的成功取决于知道执行勒索软件时的时间戳计数器的值。

MountLocker使用ChaCha20流密码对受感染计算机上的文件进行加密,然后使用嵌入在其代码中的2048位RSA公钥对会话密钥进行加密。

传播过程

与其他勒索软件操作一样,MountLocker开发人员也依赖关联公司来攻击公司网络,他们使用的技术通常就是勒索软件攻击技术。

对MountLocker活动的调查显示,攻击者经常通过具有受损凭据的远程桌面(RDP)连接访问受害者网络。

在这些攻击中,研究人员观察到了Cobalt Strike信标和AdFind活动目录查询工具,以进行侦察并在网络上横向移动,而FTP则用于在加密阶段之前窃取文件。

在BlackBerry分析的一个样本中,MountLocker的子公司获得了一名受害者的网络访问权限,并暂停了几天受害者的运行活动,然后才恢复活动。

研究人员认为,MountLocker的攻击已经开始,已经有攻击者开始购买它了。

UnqYN3a.jpg!mobile

攻击者在获得勒索软件后,花了大约24小时进行侦察、窃取文件、横向移动并部署MountLocker。

研究人员表示,在来自MountLocker子公司的攻击中,像这样的快速操作是正常的,因为它们可以在数小时内窃取数据并对网络上的关键设备进行加密。

尽管这种勒索软件很新,但这类勒索软件显然是为了赚大钱,并很可能会扩大业务以获得最大利润。

本文翻译自:https://www.bleepingcomputer.com/news/security/mountlocker-ransomware-gets-slimmer-now-encrypts-fewer-files/如若转载,请注明原文地址:


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK