El ransomware MountLocker utiliza la API de Windows para atravesar redes

La operación de ransomware MountLocker ahora usa las API corporativas de Windows Active Directory para ejecutar el gusano en las redes.

MountLocker comenzó a operar en julio de 2020 como Ransomware-as-a-Service (RaaS) donde los desarrolladores son responsables de programar el software de ransomware y el sitio de pago, y los afiliados son reclutados para piratear empresas y cifrar sus dispositivos.

Como parte de este acuerdo, el equipo central de MountLocker recibe una reducción de menos del 20-30% en el pago del rescate, mientras que el afiliado recibe el resto.

En marzo de 2021, surgió un nuevo grupo de ransomware llamado 'Astro Locker' que comenzó a usar una versión personalizada del ransomware MountLocker con notas de rescate que apuntaban a sus sitios de pago y filtración de datos.

"No es un cambio de marca, probablemente podamos definirlo como una alianza", dijo Astro Locker a BleepingComputer cuando le preguntamos sobre su conexión con MountLocker.

Finalmente, en mayo de 2021, surgió un tercer grupo llamado "XingLocker" que también usa un ejecutable de ransomware MountLocker personalizado.

MountLocker llega a otros dispositivos

Esta semana, MalwareHunterEquipo compartió un ejemplo de lo que se creía que era un nuevo ejecutable de MountLocker que contiene una nueva función de gusano que le permite propagarse y cifrarse a otros dispositivos en la red.

Después de instalar la muestra, BleepingComputer confirmó que era una muestra personalizada para el equipo de XingLocker.

Un breve análisis de BleepingComputer determinó que es posible habilitar la función del gusano ejecutando la muestra de malware con el argumento de línea de comando / NETWORK. Como esta función requiere un dominio de Windows, nuestras pruebas fallaron rápidamente, como se muestra a continuación.

Después de compartir la muestra con Intel avanzado CEO Vitali Kremez, se descubrió que MountLocker ahora usa Windows Interfaces de servicio de Active Directory API como parte de su funcionalidad de gusano.

El ransomware primero usa la función NetGetDCName () para recuperar el nombre del controlador de dominio. Luego ejecuta consultas LDAP en el controlador de dominio ADS usando la función ADsOpenObject () con las credenciales pasadas en la línea de comando.

Una vez conectado a los servicios de Active Directory, iterará sobre la base de datos para objetos de "objectclass = computer", como se muestra en la imagen de arriba.

Por cada objeto que encuentre, MountLocker intentará copiar el ejecutable del ransomware en la carpeta " C $ ProgramData" en el dispositivo remoto.

El ransomware creará de forma remota un servicio de Windows que carga el ejecutable para que pueda proceder a cifrar el dispositivo.

Con esta API, el ransomware puede encontrar todos los dispositivos que forman parte del dominio de Windows comprometido y cifrarlos con credenciales de dominio robadas.

"Muchos entornos corporativos se basaron en complejos bosques de Active Directory y computadoras durante ese tiempo. MountLocker es ahora el primer ransomware conocido que aprovecha una visión única de la arquitectura empresarial para ayudar a identificar objetivos adicionales para operaciones criptográficas fuera de la red normal y compartir el escaneo. ”, Dijo Kremez BleepingComputer en una conversación sobre el malware.

"Este es el cambio de época en la profesionalización del desarrollo de ransomware para la explotación de la red corporativa".

Dado que los administradores de red de Windows suelen utilizar esta API, Kremez cree que el actor de amenazas que agregó este código probablemente tenga alguna experiencia en la administración de dominios de Windows ".

Aunque esta API se ha visto en otro malware, como TrickBot, este podría ser el primer "ransomware empresarial para profesionales" en utilizar estas API para realizar un reconocimiento integrado y propagarse a otros dispositivos.