Operadores do ransomware MountLocker agora estão usando APIs corporativas do Windows Active Directory para disseminar worm através de redes.
O MountLocker começou a operar em julho de 2020 como um ransomware-as-a-service (RaaS), em que os desenvolvedores são responsáveis pela programação do ransomware e do site de pagamento, e os afiliados são recrutados para hackear empresas e criptografar seus dispositivos. Como parte desse acordo, a equipe principal do MountLocker recebe uma parcela menor de 20% a 30% do pagamento do resgate, enquanto o afiliado fica com o restante.
Em março deste ano, surgiu um novo grupo de ransomware chamado Astro Locker, que começou a usar uma versão personalizada do MountLocker com notas de resgate apontando para seus próprios sites de pagamento e vazamento de dados. “Não é um rebranding, provavelmente podemos defini-lo como uma aliança”, disse Astro Locker ao BleepingComputer sobre sua conexão com o MountLocker.
Finalmente, em maio, um terceiro grupo surgiu, chamado XingLocker, que também usa um executável ransomware MountLocker personalizado.
Esta semana, a MalwareHunterTeam compartilhou uma amostra do que se acreditava ser um novo executável MountLocker que contém um novo recurso de worm que permite que ele se espalhe e criptografe para outros dispositivos na rede.
Depois de compartilhar a amostra com o CEO da Advanced Intel, Vitali Kremez, foi descoberto que o MountLocker agora está usando a API Windows Active Directory Service Interfaces como parte de seu worm. Usando essa API, o ransomware pode encontrar todos os dispositivos que fazem parte do domínio comprometido do Windows e criptografá-los usando credenciais de domínio roubadas.
Veja isso
DarkSide pode ter faturado US$ 90 mi com ransomware
Fúria dos EUA põe em fuga operadores de ransomware
“Muitos ambientes corporativos dependem de florestas complexas de diretório ativo e computador. Agora, o MountLocker é o primeiro ransomware conhecido a alavancar uma visão arquitetônica corporativa única para o benefício de identificar alvos adicionais para operação de criptografia fora da rede normal e varredura de compartilhamento”, disse Kremez. “Essa é a mudança quântica de profissionalizar o desenvolvimento de ransomware para exploração de rede corporativa.”
Como os administradores de rede do Windows costumam usar essa API, o executivo acredita que o autor da ameaça que adicionou esse código provavelmente tem alguma experiência em administração de domínio do Windows. “Embora essa API tenha sido vista em outro malware, como TrickBot, este pode ser o primeiro “ransomware corporativo para profissionais” a usar essas APIs para realizar reconhecimento integrado e propagação para outros dispositivos.
