Mount Locker勒索软件方案对于税务部门总体目标进行攻击
从2020年7月底逐渐,Mount Locker就早已逐渐对于每个大中型企业网络开展渗入攻击,并布署勒索软件。跟别的勒索软件一样,Mount Locker会在对总体目标用户的文档开展加密以前,先盗取用户文档,随后再去跟总体目标用户索取数百万美元的保释金。11月,德国领跑的安全性企业Gunnebo AB就遭到了Mount Locker攻击,网络黑客已将偷盗的数据信息公布到暗在网上。据报道,该企业的网络服务器早在2020年8月遭受毁坏,Gunnebo创立于1889年,之后变成欧州金融机构安全性解决方法的领跑服务提供商,包含安全存储,支付结算和通道自动控制系统。该企业CEO斯特凡·塞伦(StefanSyrén)表露,此次围攻是高宽比机构的,Mount Locker勒索软件机构规定向BTC敲诈勒索保释金。可是,该企业回绝付款保释金,只是将事件报告给了德国监督局Spo。随后,Mount Locker勒索软件组将大概38000个上传文件到公共性网络服务器。
现阶段Mount Locker已经添加上百万等级勒索软件大家族,但是MountLocker勒索软件近期收到了一个升级,该升级将其尺寸减少了一半,但仍保存了一个学习培训控制模块,该控制模块有可能容许学习培训用以加密文档的任意密匙。
减脂计划
在11月上中旬,恶意程序科学研究工作人员在野外看到了第二版的MountLocker,它的开发者已经积极主动为下一次攻击做准备。
高級资源企业(AdvIntel)的反方向技术工程师兼CEO维塔利·克莱米兹(Vitali Kremez)的研究表明,勒索软件开发者加上了与TurboTax软件关系的文件后缀名(.tax,.tax2009,.tax2013,.tax2014),以提前准备进行根据对于税务部门的攻击。TurboTax是一款十分功能强大的税款类的手机软件,能够 为用户们出示更为有效的具体指导,便于更强的协助用户们作出恰当的管理决策,另外,手机软件实际操作也是十分的简易,无一切繁杂的实际操作,就算是啥都不容易的用户们也是能够 轻轻松松的像专业人员一样应用。此软件可协助用户全自动导进用户的投资资讯和税款数据信息,包含个股,债卷,ESPP,智能机器人项目投资,加密贷币,租用物业管理收益等,并能全自动检索400多种多样税收减免和税收抵免额,以搜索您合乎资质的每一个税收优惠政策。
在近期公布的技术指标分析中,BlackBerry Research and Intelligence Team强调,新的MountLocker版本将从11月6日逐渐编译程序。
恶意程序开发者将64位恶意程序的尺寸降低到46KB,比以前的版本变小约50%。为了更好地做到这一目地,她们删除了文件后缀名列表,在其中有2600好几个要加密的密匙。
如今,它的总体目标是一个较小的列表,该列表清除了便于更换的文件属性:.EXE,.DLL,.SYS,.MSI,.MUI,.INF,.CAT,.BAT,.CMD,.PS1,.VBS,.TTF, .FON,.LNK。
新编码与旧编码十分类似,最大的变化是删除卷影团本和停止过程的全过程,该全过程现在在加密文档以前应用PowerShell脚本制作进行。
但是科学研究工作人员发觉新的MountLocker中70%的编码与之前的版本同样,包含不安全的Windows API函数GetTickCount,该恶意程序能够 转化成一个任意加密密匙(对话密匙)。
GetTickCount早已被弃用,取代它的的是GetTickCount64。在其登陆密码提议列表中,微软公司将这两个涵数都列入生成随机数的不安全方式。
科学研究工作人员发觉,应用GetTickCount API,根据强制破译寻找加密密匙的概率不大。科学研究工作人员填补说,这一破译的取得成功在于了解实行勒索软件时的时间格式电子计数器的值。
MountLocker应用ChaCha20流登陆密码对受感柒电子计算机上的文档开展加密,随后应用置入在其编码中的2048位RSA公匙对对话密匙开展加密。
散播全过程
与别的勒索软件实际操作一样,MountLocker开发者也依靠关联企业来攻击局域网络,她们应用的技术性一般便是勒索软件攻击技术性。
对MountLocker主题活动的数据调查报告,攻击者常常根据具备损伤凭证的远程桌面连接(RDP)联接浏览受害人互联网。
在这种攻击中,科学研究工作人员观查到Cobalt Strike信标和AdFind活动目录查询工具,以开展侦查并在互联网上横着挪动,而FTP则用以在加密环节以前盗取文档。
在BlackBerry剖析的一个样版中,MountLocker的分公司得到了一名受害人的互联网访问限制,并中止了几日受害人的运作主题活动,随后才修复主题活动。
科学研究工作人员觉得,MountLocker的攻击早已逐渐,早已有攻击者逐渐选购它了。
攻击者在得到勒索软件后,花了大概24小时开展侦查、盗取文档、横着挪动并布署MountLocker。
科学研究工作人员表明,在来源于MountLocker分公司的攻击中,像那样的迅速实际操作是一切正常的,由于他们能够 在数钟头内盗取数据信息并对互联网上的主要设备开展加密。
虽然这类勒索软件很新,但这种勒索软件显而易见是为了更好地挣大钱,并很可能会扩张业务流程以得到较大 盈利。
参照及来源于:
全文:
亚信安全:2020年勒索软件导致的财产损失升高50%
侠客原創:三言两语——聊一下「勒索软件的预防」
碰到敲诈勒索攻击需不需要付保释金?如果你犹豫的情况下,早已输掉!
汇总 | 2017年敲诈勒索攻击热点事件,你中了这几个常用招式?
【能救了】美亚柏科"数据恢复大师"发布"勒索软件"数据修复计划方案!
