文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

Mount Locker勒索软件计划针对税务系统目标发起攻击

2024-12-03 11:02

关注

从2020年7月底开始,Mount Locker就已经开始针对各个大型企业网络进行渗透攻击,并部署勒索软件。跟其他勒索软件一样,Mount Locker会在对目标用户的文件进行加密之前,先窃取用户文件,然后再去跟目标用户索要数百万美元的赎金。11月,瑞典领先的安全公司Gunnebo AB就遭受了Mount Locker攻击,黑客已将盗窃的数据发布到了暗网上。据报道,该公司的服务器早在2020年8月遭到破坏,Gunnebo成立于1889年,后来成为欧洲银行安全解决方案的领先提供商,包括安全存储,现金管理和入口控制系统。该公司首席执行官斯特凡·塞伦(StefanSyrén)透露,这次袭击是高度组织的,Mount Locker勒索软件组织要求向BTC勒索赎金。但是,该公司拒绝支付赎金,而是将事件报告给了瑞典安全局Spo。然后,Mount Locker勒索软件组将大约38000个文件上传到公共服务器。

目前Mount Locker现已加入百万级别勒索软件家族,不过MountLocker勒索软件最近收到了一个更新,该更新将其大小减小了一半,但仍保留了一个学习模块,该模块有可能允许学习用于加密文件的随机密钥。

瘦身计划

在11月下半月,恶意软件研究人员在野外看到了第二版的MountLocker,它的开发人员正在积极为下一次攻击做准备。

高级情报公司(AdvIntel)的反向工程师兼首席执行官维塔利·克莱米兹(Vitali Kremez)的研究表明,勒索软件开发人员添加了与TurboTax软件关联的文件扩展名(.tax,.tax2009,.tax2013,.tax2014),以准备发起基于针对税务系统的攻击。TurboTax是一款非常好用的税收类的软件,可以为用户们提供最为合理的指导,以便更好的帮助用户们做出正确的决策,同时,软件操作也是十分的简单,无任何复杂的操作,哪怕是什么都不会的用户们也是可以轻松的像专业人士一样使用。该软件可帮助用户自动导入用户的投资信息和税收数据,涵盖股票,债券,ESPP,机器人投资,加密货币,租赁物业收入等,并能自动搜索400多种税收减免和抵免额,以查找您符合资格的每个税收优惠。

在最近发布的技术分析中,BlackBerry Research and Intelligence Team指出,新的MountLocker版本将从11月6日开始编译。

恶意软件开发人员将64位恶意软件的大小减少到46KB,比之前的版本小了约50%。为了达到这个目的,他们删除了文件扩展名列表,其中有2600多个要加密的密钥。

现在,它的目标是一个较小的列表,该列表排除了易于替换的文件类型:.EXE,.DLL,.SYS,.MSI,.MUI,.INF,.CAT,.BAT,.CMD,.PS1,.VBS,.TTF, .FON,.LNK。

新代码与旧代码非常相似,最大的变化是删除卷影副本和终止进程的过程,该过程现在在加密文件之前使用PowerShell脚本完成。


不过研究人员发现新的MountLocker中70%的代码与以前的版本相同,包括不安全的Windows API函数GetTickCount,该恶意软件可以生成一个随机加密密钥(会话密钥)。

GetTickCount已经被弃用,取而代之的是GetTickCount64。在其密码建议列表中,微软将这两个函数都列为生成随机数的不安全方法。

研究人员发现,使用GetTickCount API,通过强行破解找到加密密钥的可能性很小。研究人员补充说,这一破解的成功取决于知道执行勒索软件时的时间戳计数器的值。

MountLocker使用ChaCha20流密码对受感染计算机上的文件进行加密,然后使用嵌入在其代码中的2048位RSA公钥对会话密钥进行加密。

传播过程

与其他勒索软件操作一样,MountLocker开发人员也依赖关联公司来攻击公司网络,他们使用的技术通常就是勒索软件攻击技术。

对MountLocker活动的调查显示,攻击者经常通过具有受损凭据的远程桌面(RDP)连接访问受害者网络。

在这些攻击中,研究人员观察到了Cobalt Strike信标和AdFind活动目录查询工具,以进行侦察并在网络上横向移动,而FTP则用于在加密阶段之前窃取文件。

在BlackBerry分析的一个样本中,MountLocker的子公司获得了一名受害者的网络访问权限,并暂停了几天受害者的运行活动,然后才恢复活动。

研究人员认为,MountLocker的攻击已经开始,已经有攻击者开始购买它了。


攻击者在获得勒索软件后,花了大约24小时进行侦察、窃取文件、横向移动并部署MountLocker。

研究人员表示,在来自MountLocker子公司的攻击中,像这样的快速操作是正常的,因为它们可以在数小时内窃取数据并对网络上的关键设备进行加密。

尽管这种勒索软件很新,但这类勒索软件显然是为了赚大钱,并很可能会扩大业务以获得最大利润。

本文翻译自:https://www.bleepingcomputer.com/news/security/mountlocker-ransomware-gets-slimmer-now-encrypts-fewer-files/如若转载,请注明原文地址。

 

来源:嘶吼网内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯