Se informa que las empresas de todo el mundo han fallado a las víctimas del reciente ataque de ransomware por parte de Mount Locker. El nuevo ataque de ransomware en curso apunta a las redes corporativas y exige millones de dólares en pagos de rescate en Bitcoins, y los hackers amenazan con revelar públicamente los datos cifrados si las víctimas se niegan a pagar el rescate.
Actividad del ransomware Mount Locker
El ransomware Mount Locker se notó por primera vez en la naturaleza a finales de julio de 2020. El troyano ingresa al sistema de la víctima con un archivo malicioso entregado como un archivo adjunto de spam o viene junto con software gratuito descargado. Desde que este ransomware llamó la atención de los investigadores, los hackers han atacado y cifrado archivos de varias empresas afectadas y han publicado su información en el sitio supervisado por el operador del ransomware. Los investigadores suponen que el monto del rescate puede variar según la víctima dependiendo del valor de la información comprometida.
Los archivos cifrados tienen la extensión «.ReadManual.ID.» seguido de un ID único que carga el archivo de información de rescate al hacer clic. El archivo RecoveryManual subido contiene instrucciones para las víctimas del ransomware sobre comunicaciones adicionales con los hackers para descifrar los archivos. Los atacantes advierten que cualquier intento de modificar el archivo cifrado, incluyendo restaurarlo, corromperá los datos. Los hackers que apoyan a Mount Locker advierten a las víctimas del ransomware que no seguir las instrucciones llevará a daños reputacionales ya que la información sensible comprometida se filtrará a recursos de acceso público.
Detección de ataque de Mount Locker
La conciencia y prevención de ataques de ransomware ya se han convertido en una parte inevitable de la cultura de seguridad corporativa. Se instruye al personal para evitar contraseñas de cuentas débiles y evaluar el contenido basado en correo electrónico para reducir los efectos de los ataques de phishing.
Aprovechando la regla exclusiva de detección de amenazas por Osman Demir, el desarrollador de contenido del Programa Threat Bounty, permite detectar el ransomware Mount Locker
https://tdm.socprime.com/tdm/info/lcDnMHyHuZ5f/spy503QBSh4W_EKGF5O7/?p=1
La regla de detección del ransomware Mount Locker está disponible para las siguientes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Tácticas: Impacto
Técnicas: Datos cifrados para impacto (T1486)
¿Listo para probar SOC Prime TDM? Regístrate gratis. O únete al Programa Threat Bounty para crear tu propio contenido y compartirlo con la comunidad TDM
