El ransomware Mount Locker ha sacudido las cosas en campañas recientes con secuencias de comandos más sofisticadas y funciones antiprevención, según los investigadores. Y el cambio de táctica parece coincidir con el cambio de nombre del malware a "AstroLocker". Según los investigadores, Mount Locker ha sido una amenaza de rápido movimiento.
Como bien sabemos, el ransomware no solo bloquea archivos, sino que también roba datos y amenaza con filtrarlos si no se paga el rescate y este es el mismo caso de Mount Locker, en una táctica de doble extorsión. También son conocidos por exigir rescates multimillonarios y robar grandes cantidades de datos.
En términos de enfoque técnico, Mount Locker utiliza herramientas legítimas listas para usar para moverse lateralmente, robar archivos e implementar el cifrado, esto incluye el uso de AdFind y Bloodhound para Active Directory y la concienciación del usuario; FTP para exfiltración de archivos; y la herramienta de prueba de pluma CobaltStrike para movimiento lateral y entrega y ejecución de cifrado, potencialmente a través de psExec.
Es posible que el grupo Mount Locker quiera cambiar su marca para crear una imagen nueva y más profesional, o podría ser un intento de lanzar un verdadero programa de ransomware como servicio (RaaS). Independientemente, si alguna organización se convierte en víctima de Astro Locker en el futuro, debe investigar los TTP de Mount Locker y Astro Locker.
Los expertos coinciden en que Mount Locker está aumentando sus capacidades y convirtiéndose en una amenaza más peligrosa. Estos scripts no eran solo pasos generales para deshabilitar una amplia variedad de herramientas, sino que estaban personalizados y dirigidos al entorno de la víctima.