Etapy cyberataku

Ransomware najpierw wykorzystuje funkcję NetGetDCName () aby pobrać nazwę kontrolera domeny. Następnie wykonuje zapytania LDAP względem ADS kontrolera domeny za pomocą funkcji ADsOpenObject () z poświadczeniami przekazanymi w wierszu poleceń. Gdy połączy się już z usługami Active Directory, będzie iterował po bazie danych w poszukiwaniu obiektów „objectclass = computer”.

Dla każdego znalezionego obiektu MountLocker spróbuje skopiować plik wykonywalny ransomware do folderu „\C$\ProgramData” urządzenia. Następnie oprogramowanie ransomware zdalnie tworzy usługę systemu Windows, która ładuje plik wykonywalny, aby można było przystąpić do szyfrowania urządzenia. Korzystając z tej metody, MountLocker może wyszukać wszystkie urządzenia, które są częścią zaatakowanej domeny Windows, przejąć urządzenia przy użyciu skradzionych danych uwierzytelniających domeny i następnie je zaszyfrować.

Korzystasz z AC? Być może masz problem

Wiele środowisk korporacyjnych polega na złożonych lasach usługi Active Directory. Obecnie MountLocker jest pierwszym znanym oprogramowaniem ransomware, które wykorzystuje ten unikalny charakter architektury korporacyjnej w celu zidentyfikowania dodatkowych celów i ich zaszyfrowania. Administratorzy sieci Windows często pracują w oparciu o API AC Interface, stąd specjaliści zauważają, że być może osoba odpowiedzialna za dopisanie tej funkcji do kodu ransowmare MountLocker, posiada doświadczenie w administrowaniu domenami Windows.