Αλλάζει τακτικές και γίνεται πιο επικίνδυνο
Το
Mount Locker
ransomware
έχει παρατηρηθεί σε πρόσφατες
εκστρατείες
με πιο εξελιγμένα scripting και άλλα
χαρακτηριστικά
. Μάλιστα, φαίνεται ότι οι βελτιώσεις και οι αλλαγές στις τεχνικές λειτουργίας συμπίπτουν και με την αλλαγή ονόματος σε “
AstroLocker
“.
Σύμφωνα με
ερευνητές
ασφαλείας
, το Mount Locker
ransomware
αναπτύχθηκε πολύ γρήγορα. Ήρθε στην επιφάνεια ως
ransomware
-as-a-service
κατά το δεύτερο εξάμηνο του 2020 και τον Νοέμβριο του ίδιου έτους, η
hacking ομάδα
έκανε μια
σημαντική
ενημέρωση
που διεύρυνε τις
δυνατότητες
στόχευσης
. Επίσης, οι hackers βελτίωσαν τις
δυνατότητες
αποφυγής της ανίχνευσης
. Οι
επιθέσεις
εξακολούθησαν να αυξάνονται και τώρα, μια άλλη μεγάλη
ενημέρωση
“
φέρνει σημαντικές αλλαγές στις τακτικές του Mount Locker
ransomware
“, σύμφωνα με μια
ανάλυση που κυκλοφόρησε την Πέμπτη από τη
GuidePoint Security.
Δείτε επίσης
:
Ολλανδικά σούπερ μάρκετ ξεμένουν από τυρί μετά από μια
επίθεση
ransomware
Το Mount Locker προσθέτει
χαρακτηριστικά
για την αποφυγή της ανίχνευσης
Όπως πολλές
ransomware
συμμορίες, έτσι και οι χειριστές του Mount Locker δεν κρυπτογραφούν απλά τα
συστήματα
των θυμάτων. Πριν το κάνουν αυτό,
κλέβουν
δεδομένα
και απειλούν να τα διαρρεύσουν
εάν δεν λάβουν τα λύτρα (διπλός
εκβιασμός
). Οι συγκεκριμένοι hackers είναι γνωστοί για τα μεγάλα χρηματικά ποσά που ζητούν και για την κλοπή ιδιαίτερα μεγάλων ποσοτήτων δεδομένων (έως 400 GB).
Σύμφωνα με τη GuidePoint, από τεχνική άποψη, το Mount Locker
ransomware
χρησιμοποιεί
off-the-shelf, νόμιμα εργαλεία
για να εξαπλωθεί στο σύστημα, να κλέψει αρχεία και να κρυπτογραφήσει τις
συσκευές
.
“
Μετά την εξέταση του περιβάλλοντος, τα backup
συστήματα
εντοπίζονται και εξουδετερώνονται και συλλέγονται
δεδομένα
. Τέλος, τα
συστήματα
κρυπτογραφούνται
“, δήλωσε ο Drew Schmitt, ανώτερος αναλυτής πληροφοριών της GuidePoint.
Δείτε επίσης
: NBA: Οι Houston Rockets στο στόχαστρο
ransomware
συμμορίας!
Σύμφωνα με τους ερευνητές, οι πιο πρόσφατες
εκστρατείες
αξιοποιούν διάφορες νέες λειτουργίες. Αυτές έχουν σχεδιαστεί για
να απενεργοποιούν τα εργαλεία ανίχνευσης και πρόληψης επιθέσεων.
“
Αυτό υποδηλώνει ότι το Mount Locker
ransomware
ενισχύει τις δυνατότητές του και γίνεται μια πιο επικίνδυνη
απειλή
“, σύμφωνα με τον Schmitt. “
Αυτά τα scripts δεν ήταν απλώς γενικά βήματα για την
απενεργοποίηση
ενός μεγάλου εύρους εργαλείων,
αλλά ήταν προσαρμοσμένα και στοχευμένα στο περιβάλλον του θύματος
“.
Οι ερευνητές παρατήρησαν και μια άλλη αλλαγή στις τακτικές του
ransomware
. Αυτή η αλλαγή σχετίζεται με τη
χρήση
πολλαπλών CobaltStrike servers με μοναδικά domains.
Πρόκειται για ένα πρόσθετο βήμα που βοηθά στην αποφυγή της ανίχνευσης.
Biotech
εταιρείες
στο στόχαστρο των
hackers
Οι αλλαγές στις τακτικές συνοδεύτηκαν από μια
αύξηση
στις
επιθέσεις
που στοχεύουν τη biotech
βιομηχανία
.
Οι
οργανισμοί
υγειονομικής περίθαλψης και βιοτεχνολογίας
είναι πρωταρχικοί στόχοι των
ransomware
συμμοριών, επειδή δεν μπορούν να σταματήσουν τη
λειτουργία
τους για μεγάλο
διάστημα
. Έτσι, είναι πιο πιθανό να πληρώσουν τα λύτρα.
Δείτε επίσης
: Broward County Public Schools:
Ransomware
συμμορία ζήτησε $ 40 εκατομμύρια
Όπως είπαμε και παραπάνω, οι αλλαγές αυτές συμπίπτουν και με την αλλαγή ονομασίας (AstroLocker). Ο Schmitt επεσήμανε ότι όλες αυτές οι αλλαγές σε τακτικές στόχους και
όνομα
, πιθανότατα δείχνουν
ότι το
ransomware
θέλει να εξελιχθεί σε μεγαλύτερη
απειλή
.
Οι
οργανισμοί
μπορούν να αναζητήσουν σημάδια του Mount Locker ή AstroLocker
ransomware
μέσα στα περιβάλλοντά τους, όπως CobaltStrike stagers και beacons. Θα πρέπει, επίσης, να παρακολουθούν το staging και την εξαγωγή αρχείων μέσω FTP.
“
Ενώ αυτά τα σημάδια αποτελούν πάντα αιτία ανησυχίας… ένα ενημερωμένο, πιο επιθετικό Mount Locker και η δραματική
αύξηση
των επιθέσεων που οφείλονται στην ομάδα, κάνουν αυτά τα σημάδια πιο ανησυχητικά
“, κατέληξε ο Schmitt.
Πηγή: Threatpost
Related Posts
Πατήστ
ε
εδώ
και ακολουθήστε το
TechWar.gr στο Google News
για να μάθετε πρώτοι όλες τις
ειδήσεις τεχνολογίας.
