Ransomware Mount Locker: Doble extorsión

Este nuevo ransomware está activo desde el pasado mes de julio e implementa funciones tanto de cifrado como de exfiltración de ficheros.

Lo que proporciona a los operadores del mismo una doble vía de extorsión.

De acuerdo con la investigación realizada por Blackberry, el malware se distribuye entre sus afiliados como servicio (Ransonware-as-a-Service, RaaS), pudiendo ser alquilado por terceros una vez consiguen acceso a una red corporativa.

Intrusión

La vía de entrada habitual suele ser acceso por RDP a uno de los equipos de la organización, ya sea mediante leaks de contraseñas o directamente fuerza bruta contra servidores expuestos. Tras la intrusión inicial se produce una pausa de varios días, lo que sugiere a los investigadores que durante este periodo se realizan las negociaciones con el fabricante del ransomware.

Movimiento lateral

Una vez reanudadas las operaciones, comienza el reconocimiento de la red interna de la organización, utilizando para ello AdFind, una herramienta diseñada para consultar el directorio activo e identificar nuevos objetivos accesibles. A medida que avanza, realiza la instalación de agentes de CobaltStrike, lo que les permite tomar el control directo de los equipos, que será el medio de ejecución de scripts y el binario del ransomware.

Exfiltración

Una de las características de este malware es la capacidad de exfiltrar datos por FTP, previa al cifrado de los mismos. De esta manera disponen de una doble vía de extorsión ya que, independientemente de que la empresa disponga de copias de seguridad que le permitan continuar con sus las operaciones de negocio, pueden exigir dinero a cambio de no publicar la información obtenida.

Los operadores mantienen, además un sitio en la red Tor donde exponen las empresas que han sido víctimas de los ataques, con el volumen de información obtenido.

Cifrado

El binario incorpora una clave pública RSA, cuya contraparte es conocida solo por los operadores del malware. Es utilizada para cifrar la clave utilizada en el cifrado de archivos, mediante el algoritmo CHACHA20. En la publiación del análisis indican, sin embargo, que esta última clave se genera a partir de datos potencialmente predecibles, la función GetTickCount del API de Windows, lo que podría facilitar el desarrollo de herramientas de descifrado.

Una vez generada y notificada al C2, crea un fichero html con información para el usuario, que incluye una dirección de la red TOR donde se podrá realizar el pago del rescate.

Finalmente se procede al cifrado masivo de ficheros, excluyendo ciertos directorios del sistema, cuya extensión figure en una lista interna.