Программа-вымогатель MountLocker теперь использует корпоративные API-интерфейсы Windows Active Directory для проникновения через сети.
MountLocker начал работать в июле 2020 года как программа-вымогатель как услуга (RaaS), где разработчики отвечают за программирование программного обеспечения-вымогателя и сайта платежей, а аффилированные лица нанимают для взлома предприятий и шифрования их устройств.
В рамках этой договоренности основная команда MountLocker получает меньшую долю в размере 20-30% от суммы выкупа, а аффилированное лицо получает остальную часть.
В марте 2021 года появилась новая группа вымогателей под названием Astro Locker, которая начала использовать настроенную версию вымогателя MountLocker с примечаниями о выкупе, указывающими на их собственные сайты платежей и утечки данных.
«Это не ребрендинг, вероятно, мы можем определить его как альянс», - сказал Astro Locker BleepingComputer, когда мы спросили об их связи с MountLocker.
Наконец, в мае 2021 года появилась третья группа под названием XingLocker, которая также использует настроенный исполняемый файл вымогателя MountLocker.
MountLocker проникает на другие устройства
На этой неделе команда MalwareHunterTeam поделилась образцом того, что считается новым исполняемым файлом MountLocker, который содержит новую функцию червя, которая позволяет ему распространяться и шифровать на другие устройства в сети.После установки образца BleepingComputer подтвердил, что это был адаптированный образец для команды XingLocker.
Краткий анализ, проведенный BleepingComputer, показал, что вы можете включить функцию червя, запустив образец вредоносной программы с аргументом командной строки / NETWORK. Поскольку для этой функции требуется домен Windows, наши тесты быстро завершились неудачно, как показано ниже.
Сообщения отладки для функции червя MountLocker
После обмена образцом с генеральным директором Advanced Intel Виталием Кремезом было обнаружено, что MountLocker теперь использует API интерфейсов служб Windows Active Directory как часть своей функции червя.
Программа-вымогатель сначала использует функцию NetGetDCName () для получения имени контроллера домена. Затем он выполняет запросы LDAP к ADS контроллера домена с помощью функции ADsOpenObject () с учетными данными, переданными в командной строке.
Использование API интерфейсов служб Active Directory
После подключения к службам Active Directory он будет перебирать базу данных для объектов «objectclass = computer», как показано на изображении выше.
Для каждого найденного объекта MountLocker попытается скопировать исполняемый файл программы-вымогателя в папку «\ C $ \ ProgramData» удаленного устройства.
Затем программа-вымогатель удаленно создаст службу Windows, которая загружает исполняемый файл, чтобы продолжить шифрование устройства.
Создание и запуск службы вымогателей Windows
Используя этот API, программа-вымогатель может найти все устройства, которые являются частью взломанного домена Windows, и зашифровать их, используя украденные учетные данные домена.
«Многие корпоративные среды полагаются на сложные леса активных каталогов и компьютер в то время. Теперь MountLocker - первая известная программа-вымогатель, которая использует уникальные корпоративные архитектурные идеи для выявления дополнительных целей для операций шифрования за пределами обычной сети и сканирования общих ресурсов», - сказал Кремез. BleepingComputer в разговоре о вредоносном ПО.
«Это качественный сдвиг в профессиональной разработке программ-вымогателей для эксплуатации корпоративных сетей».
Поскольку сетевые администраторы Windows обычно используют этот API, Кремез считает, что злоумышленник, добавивший этот код, вероятно, имеет некоторый опыт администрирования домена Windows ».
Хотя этот API был замечен в других вредоносных программах, таких как TrickBot , это может быть первая «корпоративная программа-вымогатель для профессионалов», использующая эти API для выполнения встроенной разведки и распространения на другие устройства.
Перевод - Google
Bleeping Computer
