W zeszłym tygodniu MalwareHunterTeam odkrył nowy plik wykonywalny MountLocker, rozszerzony o zupełnie nową funkcję robaka. Dzięki niej zagrożenie jest teraz w stanie rozprzestrzeniać się w ramach sieci i szyfrować znajdujące się w niej urządzenia. Jak się później okazało, nowa wersja MountLocker korzysta z API Windows Active Directory Service Interfaces.

Etapy cyberataku

Ransomware najpierw wykorzystuje funkcję NetGetDCName () aby pobrać nazwę kontrolera domeny. Następnie wykonuje zapytania LDAP względem ADS kontrolera domeny za pomocą funkcji ADsOpenObject () z poświadczeniami przekazanymi w wierszu poleceń. Gdy połączy się już z usługami Active Directory, będzie iterował po bazie danych w poszukiwaniu obiektów „objectclass = computer”.

Dla każdego znalezionego obiektu MountLocker spróbuje skopiować plik wykonywalny ransomware do folderu „\C$\ProgramData” urządzenia. Następnie oprogramowanie ransomware zdalnie tworzy usługę systemu Windows, która ładuje plik wykonywalny, aby można było przystąpić do szyfrowania urządzenia. Korzystając z tej metody, MountLocker może wyszukać wszystkie urządzenia, które są częścią zaatakowanej domeny Windows, przejąć urządzenia przy użyciu skradzionych danych uwierzytelniających domeny i następnie je zaszyfrować.

Korzystasz z AC? Być może masz problem

Wiele środowisk korporacyjnych polega na złożonych lasach usługi Active Directory. Obecnie MountLocker jest pierwszym znanym oprogramowaniem ransomware, które wykorzystuje ten unikalny charakter architektury korporacyjnej w celu zidentyfikowania dodatkowych celów i ich zaszyfrowania. Administratorzy sieci Windows często pracują w oparciu o API AC Interface, stąd specjaliści zauważają, że być może osoba odpowiedzialna za dopisanie tej funkcji do kodu ransowmare MountLocker, posiada doświadczenie w administrowaniu domenami Windows.

×
Szukasz profesjonalnego wsparcia IT? Masz ciekawy projekt informatyczny do realizacji? Interesuje Cię zakup i wdrożenie sprzętu IT? Zostaw swoje dane. Skontaktujemy się z Tobą (akceptujesz politykę prywatności www).
Skip to content