Ransomware Mount Locker

Les entreprises du monde entier auraient échoué à protéger les victimes de la récente attaque de ransomware par Mount Locker. La nouvelle attaque de ransomware en cours cible les réseaux d’entreprise et exige des millions de dollars de rançon en Bitcoins, et les pirates menacent de révéler publiquement les données chiffrées si les victimes refusent de payer la rançon.

Activité du ransomware Mount Locker

Le ransomware Mount Locker a été remarqué pour la première fois dans la nature à la fin de juillet 2020. Le cheval de Troie s’introduit dans le système de la victime avec un fichier malveillant livré en pièce jointe d’un spam ou accompagné de logiciels gratuits téléchargés. Depuis que ce ransomware a été remarqué par les chercheurs, les pirates ont attaqué et chiffré les fichiers de plusieurs entreprises affectées et ont publié leurs informations sur le site supervisé par l’opérateur du ransomware. Les chercheurs supposent que le montant de la rançon peut varier en fonction de la valeur des informations compromises.

Les fichiers chiffrés portent l’extension « .ReadManual.ID. » suivie d’un ID unique qui charge le fichier d’informations de la rançon sur clic. Le fichier RecoveryManual téléchargé contient des instructions pour les victimes du ransomware sur la communication ultérieure avec les pirates pour déchiffrer les fichiers. Les attaquants avertissent que toute tentative de modification du fichier chiffré, y compris sa restauration, corrompra les données. Les pirates soutenant Mount Locker avertissent les victimes du ransomware que ne pas suivre les instructions entraînera des dommages réputationnels car les informations sensibles compromises seront divulguées à des ressources disponibles publiquement.

Détection des attaques Mount Locker

La sensibilisation et la prévention contre les attaques de ransomware font déjà partie intégrante de la culture de sécurité des entreprises. Le personnel est instruit d’éviter les mots de passe de comptes faibles et d’évaluer le contenu des e-mails pour réduire les effets des attaques de phishing.

Exploiter la règle exclusive de détection de menace par Osman Demir, le développeur de contenu du Threat Bounty Program, permet de repérer le ransomware Mount Locker.

https://tdm.socprime.com/tdm/info/lcDnMHyHuZ5f/spy503QBSh4W_EKGF5O7/?p=1

La règle de détection du ransomware Mount Locker est disponible pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR : Carbon Black, Elastic Endpoint

MITRE ATT&CK :

Tactiques : Impact

Techniques : Données chiffrées pour l’impact (T1486)

Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le Threat Bounty Program pour créer votre propre contenu et le partager avec la communauté TDM