El ransomware MountLocker recibió una actualización recientemente que redujo su tamaño a la mitad, pero conserva una debilidad que podría permitir aprender la clave aleatoria utilizada para cifrar archivos.

Esta operación de ransomware comenzó en julio de 2020 y está dirigida a redes corporativas. Sus operadores roban datos antes de cifrarlos y amenazan a las víctimas con filtrar archivos a menos que se cumplan sus demandas multimillonarias de rescate.

Nueva variante recortada

En la segunda quincena de noviembre, la segunda versión, los investigadores de malware vieron la segunda versión de MountLocker en estado salvaje con pistas de que sus operadores se estaban preparando para la temporada de impuestos.

La investigación de Vitali Kremez, ingeniero inverso y CEO de Advanced Intelligence (AdvIntel), muestra que los desarrolladores de ransomware agregaron extensiones de archivo (.tax, .tax2009, .tax2013, .tax2014) asociadas con el software TurboTax para preparar documentos de declaración de impuestos.

En un análisis técnico publicado hoy, el equipo de investigación e inteligencia de BlackBerry señala que la nueva variante MountLocker viene con una marca de tiempo de compilación del 6 de noviembre.

Los desarrolladores de malware redujeron el tamaño de la variante de malware de 64 bits a 46 KB, que es aproximadamente un 50% más pequeño que la versión anterior. Para llegar a esto, eliminaron la lista de extensiones de archivo con más de 2600 entradas destinadas al cifrado.

Ahora apunta a una lista mucho más pequeña que excluye tipos de archivos fácilmente reemplazables: .EXE, .DLL, .SYS, .MSI, .MUI, .INF, .CAT, .BAT, .CMD, .PS1, .VBS, .TTF, .FON, .LNK.

El nuevo código es muy similar al anterior, el mayor cambio es el proceso para eliminar instantáneas de volumen y para finalizar procesos, que ahora se realiza con el script de PowerShell antes de cifrar los archivos.

Secuencia de comandos MountLocker PowerShell
fuente: BlackBerry

Una mancha

BlackBerry dice que el 70% del código en el nuevo MountLocker es el mismo que en la versión anterior, incluida la función insegura de la API de Windows GetTickCount del malware para generar una clave de cifrado aleatoria (clave de sesión).

GetTickCount ha quedado obsoleto en favor de GetTickCount64. En su lista de recomendaciones criptográficas, Microsoft enumera ambas funciones como métodos inseguros para generar números aleatorios.

BlackBerry dice que el uso de la API GetTickCount ofrece una “pequeña posibilidad” de encontrar las claves de cifrado mediante la fuerza bruta.

Los investigadores añaden que el éxito de este esfuerzo depende de conocer el valor del contador de marca de tiempo durante la ejecución del ransomware.

MountLocker cifra los archivos en las computadoras infectadas usando el cifrado de flujo ChaCha20 y luego la clave de sesión se cifra con una clave pública RSA de 2048 bits incrustada en su código.

Entrando y extendiéndose

Al igual que otras operaciones de ransomware, los desarrolladores de MountLocker dependen de sus afiliados para violar las redes corporativas. Las técnicas que utilizan se utilizan comúnmente en ataques de ransomware.

La investigación de BlackBerry de las campañas de MountLocker mostró que los actores a menudo acceden a la red de la víctima a través de una conexión de escritorio remoto (RDP) con credenciales comprometidas.

Se han observado balizas de Cobalt Strike y la herramienta de consulta de directorio activo AdFind en estos ataques para reconocimiento y movimiento lateral en la red, mientras que FTP se utilizó para robar archivos antes de la etapa de cifrado.

En un incidente que analizó BlackBerry, un afiliado de MountLocker obtuvo acceso a la red de una víctima y se detuvo durante varios días antes de reanudar la actividad.

Los investigadores creen que el intruso se quedó quieto porque estaban negociando con los desarrolladores para unirse al programa de afiliados.

Cadena de eliminación de ransomware MountLocker
fuente: BlackBerry

Después de obtener el ransomware, el intruso tardó aproximadamente 24 horas en realizar un reconocimiento, robar archivos, moverse lateralmente e implementar MountLocker.

Los investigadores de BlackBerry dicen que operaciones rápidas como esta son normales en los ataques de los afiliados de MountLocker, ya que pueden robar datos y cifrar máquinas clave en la red en horas.

A pesar de ser nueva, esta variedad de ransomware claramente busca mucho dinero y es probable que expanda las operaciones para obtener el máximo beneficio. Su sitio de filtraciones actualmente enumera un puñado de víctimas que no pagaron, pero el número es mucho mayor.

Incluso si el grupo detrás de él no está “particularmente avanzado” en este momento, los investigadores esperan que continúe su esfuerzo en el corto plazo.