Ransomware Mount Locker

Si segnala che aziende in tutto il mondo sono state vittime dell’attacco ransomware recente da parte di Mount Locker. Il nuovo attacco ransomware in corso prende di mira le reti aziendali e richiede pagamenti di riscatto di milioni di dollari in Bitcoins, e gli hacker minacciano di rivelare pubblicamente i dati crittografati se le vittime si rifiutano di pagare il riscatto.

Attività del ransomware Mount Locker

Il ransomware Mount Locker è stato notato per la prima volta in natura alla fine di luglio 2020. Il Trojan entra nel sistema vittima con un file dannoso consegnato come allegato spam o arriva insieme a software gratuito scaricato. Da quando questo ransomware è stato notato dai ricercatori, gli hacker hanno attaccato e crittografato i file di diverse aziende colpite e pubblicato le loro informazioni sul sito gestito dall’operatore del ransomware. I ricercatori ipotizzano che la somma del riscatto possa variare per vittima a seconda del valore delle informazioni compromesse.

I file crittografati hanno l’estensione “.ReadManual.ID.” seguita da un ID univoco che carica il file delle informazioni sul riscatto al clic. Il file RecoveryManual caricato contiene istruzioni per le vittime del ransomware su ulteriori comunicazioni con gli hacker per decrittare i file. Gli attaccanti avvertono che qualsiasi tentativo di modificare il file crittografato, incluso il ripristino, corromperà i dati. Gli hacker che supportano Mount Locker avvertono le vittime del ransomware che non seguire le istruzioni porterà a danni reputazionali poiché le informazioni sensibili compromesse saranno divulgate a risorse pubblicamente disponibili.

Rilevamento attacco Mount Locker

La consapevolezza e la prevenzione degli attacchi ransomware sono già diventate una parte inevitabile della cultura della sicurezza aziendale. Il personale è istruito a evitare password di account deboli e a valutare il contenuto basato su email per ridurre gli effetti degli attacchi di phishing.

Sfruttare la regola di rilevamento delle minacce esclusiva di Osman Demir, lo sviluppatore di contenuti del Threat Bounty Program, consente di rilevare il ransomware Mount Locker

https://tdm.socprime.com/tdm/info/lcDnMHyHuZ5f/spy503QBSh4W_EKGF5O7/?p=1

La regola di rilevamento del ransomware Mount Locker è disponibile per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tattiche: Impatto

Tecniche: Dati Crittografati per Impatto (T1486)

Pronto a provare SOC Prime TDM? Registrati gratuitamente. Oppure unisciti al Threat Bounty Program per creare i tuoi contenuti e condividerli con la comunità TDM