Windows API Digunakan sebagai Pintu dalam Operasi MountLocker Ransomware

  • Whatsapp
Windows API Digunakan sebagai Pintu dalam Operasi MountLocker Ransomware

 

Bacaan Lainnya

Pelaku ancaman sekarang menggunakan ransomware MountLocker melalui ‘API perusahaan Windows Active Directory’ untuk menargetkan pengembang dan organisasi situs web. MountLocker mulai beroperasi pada Juli 2020 sebagai Ransomware-as-a-Service (RaaS).

Tim inti MountLocker menerima sebagian kecil 20-30% dari pembayaran tebusan dan afiliasi menerima sisanya, sebagai bagian dari ikatan ini. Pada bulan Maret 2021, grup ransomware ‘Astro Locker’ muncul dan mulai menggunakan versi ransomware MountLocker yang disesuaikan dengan catatan tebusan yang menunjuk ke situs pembayaran dan kebocoran data mereka sendiri.

“Ini bukan rebranding, mungkin kita bisa mendefinisikannya sebagai aliansi,” kata Astro Locker kepada BleepingComputer ketika ditanya tentang hubungannya dengan MountLocker. Akhirnya, pada Mei 2021, grup ketiga muncul yang disebut ‘XingLocker’ yang juga menggunakan ransomware MountLocker yang dapat dieksekusi.

Awal pekan ini, MalwareHunterTeam membagikan sampel dari apa yang diyakini sebagai MountLocker baru yang dapat dieksekusi yang menggabungkan fitur worm baru yang memungkinkannya untuk membuka dan mengenkripsi ke berbagai gadget di jaringan. Setelah menginstal sampel, BleepingComputer mengonfirmasi bahwa itu adalah pola yang dipersonalisasi untuk tenaga kerja XingLocker.

Evaluasi singkat oleh BleepingComputer menunjukkan bahwa Anda dapat mengaktifkan fitur worm dengan menjalankan sampel malware dengan argumen baris perintah / NETWORK. Karena fitur ini membutuhkan Windows. Setelah berbagi sampel dengan CEO Superior Intel Vitali Kremez, ditemukan bahwa MountLocker sekarang menggunakan API Antarmuka Layanan Daftar Lively Windows Home sebagai bagian dari karakteristik worm-nya.

“Banyak lingkungan perusahaan bergantung pada hutan direktori aktif yang kompleks dan komputer di dalamnya. Sekarang MountLocker adalah ransomware pertama yang diketahui memanfaatkan wawasan arsitektur perusahaan yang unik untuk keuntungan mengidentifikasi target tambahan untuk operasi enkripsi di luar jaringan normal dan berbagi pemindaian,” kata Kremez. BleepingComputer dalam dialog tentang malware.

“Ini adalah pergeseran kuantum profesionalisasi pengembangan ransomware untuk eksploitasi jaringan perusahaan. Karena administrator jaringan Windows biasanya menggunakan API ini, Kremez yakin pelaku ancaman yang menambahkan kode ini kemungkinan memiliki pengalaman administrasi domain Windows, ”tambahnya lebih lanjut.

Meskipun API ini telah terlihat di malware lain, seperti TrickBot, ini mungkin ransomware jenis perusahaan pertama untuk profesional yang menggunakan API ini untuk melakukan pengintaian internal dan menyebar ke perangkat lain.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *