Ransomware Mount Locker

Se informa que las empresas de todo el mundo han fallado a las víctimas del reciente ataque de ransomware por parte de Mount Locker. El nuevo ataque de ransomware en curso apunta a las redes corporativas y exige millones de dólares en pagos de rescate en Bitcoins, y los hackers amenazan con revelar públicamente los datos cifrados si las víctimas se niegan a pagar el rescate.

Actividad del ransomware Mount Locker

El ransomware Mount Locker se notó por primera vez en la naturaleza a finales de julio de 2020. El troyano ingresa al sistema de la víctima con un archivo malicioso entregado como un archivo adjunto de spam o viene junto con software gratuito descargado. Desde que este ransomware llamó la atención de los investigadores, los hackers han atacado y cifrado archivos de varias empresas afectadas y han publicado su información en el sitio supervisado por el operador del ransomware. Los investigadores suponen que el monto del rescate puede variar según la víctima dependiendo del valor de la información comprometida.

Los archivos cifrados tienen la extensión «.ReadManual.ID.» seguido de un ID único que carga el archivo de información de rescate al hacer clic. El archivo RecoveryManual subido contiene instrucciones para las víctimas del ransomware sobre comunicaciones adicionales con los hackers para descifrar los archivos. Los atacantes advierten que cualquier intento de modificar el archivo cifrado, incluyendo restaurarlo, corromperá los datos. Los hackers que apoyan a Mount Locker advierten a las víctimas del ransomware que no seguir las instrucciones llevará a daños reputacionales ya que la información sensible comprometida se filtrará a recursos de acceso público.

Detección de ataque de Mount Locker

La conciencia y prevención de ataques de ransomware ya se han convertido en una parte inevitable de la cultura de seguridad corporativa. Se instruye al personal para evitar contraseñas de cuentas débiles y evaluar el contenido basado en correo electrónico para reducir los efectos de los ataques de phishing.

Aprovechando la regla exclusiva de detección de amenazas por Osman Demir, el desarrollador de contenido del Programa Threat Bounty, permite detectar el ransomware Mount Locker

https://tdm.socprime.com/tdm/info/lcDnMHyHuZ5f/spy503QBSh4W_EKGF5O7/?p=1

La regla de detección del ransomware Mount Locker está disponible para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tácticas: Impacto

Técnicas: Datos cifrados para impacto (T1486)

¿Listo para probar SOC Prime TDM? Regístrate gratis. O únete al Programa Threat Bounty para crear tu propio contenido y compartirlo con la comunidad TDM