Ransomware Mount Locker

[post-views]
Setembro 30, 2020 · 3 min de leitura
Ransomware Mount Locker

Empresas em todo o mundo foram relatadas como vítimas de ataques de ransomware recentes pelo Mount Locker. O novo ataque de ransomware em andamento tem como alvo redes corporativas e exige milhões de dólares em pagamento de resgate em Bitcoins, e os hackers ameaçam revelar publicamente os dados criptografados se as vítimas se recusarem a pagar o resgate.

Atividade do ransomware Mount Locker

O ransomware Mount Locker foi notado pela primeira vez em circulação no final de julho de 2020. O Trojan entra no sistema da vítima com um arquivo malicioso entregue como um anexo de spam ou vem acompanhado de um freeware baixado. Desde que este ransomware chamou a atenção dos pesquisadores, os hackers atacaram e criptografaram arquivos de várias empresas afetadas e publicaram suas informações no site supervisionado pelo operador do ransomware. Os pesquisadores presumem que o valor do resgate pode variar por vítima dependendo do valor da informação comprometida.

Os arquivos criptografados têm a extensão “.ReadManual.ID.” seguida por um ID único que carrega o arquivo de informações do resgate ao clicar. O arquivo RecoveryManual carregado contém instruções para as vítimas do ransomware sobre comunicações adicionais com os hackers para descriptografar os arquivos. Os atacantes alertam que quaisquer tentativas de modificar o arquivo criptografado, incluindo restaurá-los, corromperão os dados. Hackers que apoiam o Mount Locker advertem as vítimas do ransomware que não seguir as instruções levará a danos reputacionais, já que as informações sensíveis comprometidas serão vazadas para recursos públicos disponíveis.

Detecção de ataque do Mount Locker

A sensibilização e prevenção de ataques de ransomware já se tornou uma parte inevitável da cultura de segurança corporativa. O pessoal é instruído a evitar senhas fracas de contas e a avaliar conteúdo baseado em e-mail para reduzir os efeitos de ataques de phishing.

Aproveitando uma regra de detecção de ameaças exclusiva por Osman Demir, o desenvolvedor de conteúdo do Threat Bounty Program, permite identificar o ransomware Mount Locker

https://tdm.socprime.com/tdm/info/lcDnMHyHuZ5f/spy503QBSh4W_EKGF5O7/?p=1

A regra de detecção do ransomware Mount Locker está disponível para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Impacto

Técnicas: Dados criptografados para Impacto (T1486)

Pronto para experimentar o SOC Prime TDM? Inscreva-se gratuitamente. Ou junte-se ao Threat Bounty Program para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção do Ransomware Interlock: Alerta Conjunto do FBI e CISA sobre Ataques em Larga Escala com a Técnica ClickFix 5 min de leitura Ameaças Mais Recentes Detecção do Ransomware Interlock: Alerta Conjunto do FBI e CISA sobre Ataques em Larga Escala com a Técnica ClickFix by Veronika Telychko Detecção do ransomware Interlock: cibercriminosos utilizam nova variante de RAT em PHP via FileFix 5 min de leitura Ameaças Mais Recentes Detecção do ransomware Interlock: cibercriminosos utilizam nova variante de RAT em PHP via FileFix by Veronika Telychko Detecção de Atividades do Ransomware BERT: Ataques na Ásia, Europa e EUA Contra Windows e Linux 6 min de leitura Ameaças Mais Recentes Detecção de Atividades do Ransomware BERT: Ataques na Ásia, Europa e EUA Contra Windows e Linux by Veronika Telychko
Todas as notícias