마운트 로커 랜섬웨어

전 세계 기업들이 Mount Locker의 최근 랜섬웨어 공격의 희생자들에게 피해를 입혔다고 보고되었습니다. 이 새로운 진행 중인 랜섬웨어 공격은 기업 네트워크를 대상으로 하며 수백만 달러의 비트코인 형태로 몸값을 요구하고, 해커들은 피해자들이 몸값을 지불하기를 거부하면 암호화된 데이터를 공개할 것이라고 위협합니다.

Mount Locker 랜섬웨어 활동

Mount Locker 랜섬웨어는 2020년 7월 말에 처음으로 야생에서 발견되었습니다. 이 트로이 목마는 스팸 첨부파일로 제공되는 악성 파일과 함께 피해자 시스템에 들어가거나 다운로드된 프리웨어와 함께 제공됩니다. 이 랜섬웨어가 연구자들의 주목을 받기 시작한 이후, 해커들은 여러 피해 기업들의 파일을 공격하고 암호화했으며 그들의 정보를 랜섬웨어 운영자가 관리하는 사이트에 게시했습니다. 연구자들은 손상된 정보의 가치에 따라 몸값 금액이 피해자마다 다를 수 있다고 추정합니다.

암호화된 파일은 고유 ID가 뒤따르는 “.ReadManual.ID.” 확장자를 가지고 있으며, 클릭 시 몸값 정보를 로드합니다. 업로드된 RecoveryManual 파일은 랜섬웨어 피해자들에게 파일을 복호화하기 위해 해커들과의 추가 통신에 대한 지침을 포함하고 있습니다. 공격자는 암호화된 파일을 수정하거나 복원하려는 시도가 데이터를 손상시킬 것이라고 경고합니다. Mount Locker를 지원하는 해커들은 지시를 따르지 않을 경우 손상된 민감한 정보가 공개 자료에 유출되어 명성에 해를 끼칠 것이라고 랜섬웨어 피해자들에게 주의합니다.

Mount Locker 공격 탐지

랜섬웨어 공격에 대한 인식과 예방은 이미 기업 보안 문화의 필수적인 부분이 되었습니다. 직원들은 약한 계정 비밀번호 사용을 피하고, 이메일 기반 콘텐츠를 평가하여 피싱 공격의 영향을 좁히도록 지시받습니다.

독점 위협 탐지 규칙 활용 Osman Demir, 위협 바운티 프로그램 콘텐츠 개발자는 Mount Locker 랜섬웨어를 감지할 수 있도록 합니다

https://tdm.socprime.com/tdm/info/lcDnMHyHuZ5f/spy503QBSh4W_EKGF5O7/?p=1

Mount Locker 랜섬웨어 탐지 규칙은 다음 플랫폼에서 사용할 수 있습니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: Impact

기술: 데이터 암호화에 의한 영향을 미침 (T1486)

SOC Prime TDM을 사용해 볼 준비가 되셨습니까? 무료로 가입하세요. 또는 위협 바운티 프로그램에 참여하여 자신만의 콘텐츠를 제작하고 TDM 커뮤니티와 공유하세요