Ransomware #MountLocker / #AstroTeam se extiende por América Latina
En los últimos días, esta apareciendo una variante relativamente nueva de Ransomware detrás de una serie de brechas en las redes corporativas.
El Ransomware MountLocker (aka AstroTeam), que comenzó a circular en julio de 2020, ya ha ganado notoriedad por robar archivos antes del cifrado y exigir rescates por millones para evitar la divulgación pública de datos robados, una táctica conocida como doble extorsión. Este malware ha desarrollado nuevas capacidades que le permiten ampliar el alcance de sus objetivos y evadir el software de seguridad, así como la capacidad de sus afiliados para lanzar ataques.
"Los operadores de MountLocker claramente se están haciendo conocidos. Después de un comienzo lento en julio, están ganando terreno rápidamente, ya que la naturaleza de alto perfil de la extorsión y las fugas de datos aumentan las demandas de rescate", dijeron investigadores del equipo de investigación e inteligencia de BlackBerry. "Los afiliados de MountLocker suelen ser operadores rápidos, que filtran rápidamente documentos confidenciales y los cifran en objetivos clave en cuestión de horas".
MountLocker también se une a otras familias de ransomware como Maze (que cerró sus operaciones en noviembre de 2020) que opera un sitio web en la Deep Web para nombrar y avergonzar a las víctimas y proporcionar enlaces a datos filtrados. Hasta la fecha, el ransomware se ha varias víctimas en América Latina, aunque los investigadores sospechan que el número podría ser "mucho mayor".
Ofrecido como Ransomware-as-a-Service (RaaS), MountLocker funcionó notablemente a principios de agosto contra la empresa de seguridad sueca Gunnebo. Aunque la compañía dijo que había frustrado con éxito el ataque de ransomware, los delincuentes que organizaron la intrusión terminaron robando y publicando 18 gigabytes de documentos confidenciales, incluidos esquemas de bóvedas de bancos de clientes y sistemas de vigilancia, en octubre.
Según el análisis de BlackBerry, los actores de amenazas detrás de las campañas de afiliados relacionadas con MountLocker aprovecharon el escritorio remoto (RDP) con credenciales comprometidas para obtener un punto de apoyo inicial en el entorno de la víctima, algo que también se observó en el hack de Gunnebo, y posteriormente instalaron herramientas para llevar a cabo reconocimiento de red (AdFind), implementar el ransomware y distribuir lateralmente a través de la red, y exfiltrar datos críticos a través de FTP.
El ransomware en sí mismo es liviano y eficiente. Tras la ejecución, procede a finalizar el software de seguridad, activar el cifrado utilizando el cifrado ChaCha20 y crear una nota de rescate, que contiene un enlace a una URL Tor .onion para contactar a los delincuentes a través de un servicio de chat para negociar un precio por descifrar software.
También utiliza una clave pública RSA-2048 incorporada para cifrar la clave de cifrado, elimina instantáneas de volumen para frustrar la restauración de los archivos cifrados y, finalmente, se elimina del disco para ocultar sus pistas.
Sin embargo, los investigadores señalan que el ransomware utiliza un método criptográficamente inseguro llamado API GetTickCount para la generación de claves que pueden ser susceptibles a un ataque de fuerza bruta.
La lista de objetivos de cifrado de MountLocker es extensa, con soporte para más de 2.600 extensiones de archivos que abarcan bases de datos, documentos, archivos, imágenes, software de contabilidad, software de seguridad, código fuente, juegos y copias de seguridad.
Eso no es todo. Una nueva variante de MountLocker descubierta a fines de noviembre (denominada "versión 2") va un paso más allá al eliminar la lista de extensiones que se incluirán para el cifrado a favor de una lista de exclusión ajustada: .exe, .dll, .sys, .msi , .mui, .inf, .cat, .bat, .cmd, .ps1, .vbs, .ttf, .fon y .lnk.
Desde sus inicios, se ha visto que el grupo MountLocker expande y mejora sus servicios y malware. Si bien sus capacidades actuales no son particularmente avanzadas, esperamos que este grupo continúe desarrollándose y creciendo en prominencia en el corto plazo.
Fuente: SeguInfo
Comentarios
Publicar un comentario
siempre es bueno, leer tus comentarios