Le ransomware MountLocker utilise une API de Windows pour se propager

0

L’opération de ransomware MountLocker utilise désormais les API Windows Active Directory d’entreprise pour se propager via les réseaux.

MountLocker a commencé à opérer en Juillet 2020 en tant que Ransomware-as-a-Service (RaaS) où les développeurs sont en charge de la programmation du logiciel de ransomware et du site de paiement, et les affiliés sont recrutés pour pirater les entreprises et crypter leurs appareils.

Dans le cadre de cet arrangement, l’équipe centrale de MountLocker reçoit une part plus petite de 20 à 30% du paiement de la rançon, tandis que l’affilié obtient le reste.

En Mars 2021, un nouveau groupe de ransomware a vu le jour, appelé «  Astro Locker  », ce groupe a commencé à utiliser une version personnalisée du rançongiciel MountLocker avec des notes de rançon pointant vers leurs propres sites de paiement et de fuite de données.

« Ce n’est pas un changement de marque, nous pouvons probablement le définir comme une alliance », a déclaré Astro Locker à propos de leur connexion avec MountLocker.

Enfin, en Mai 2021, un troisième groupe a émergé, ce groupe se nomme «  XingLocker  » et utilise également un exécutable de rançongiciel MountLocker personnalisé.

MountLocker se propage sur d’autres appareils

MalwareHunterTeam a partagé un échantillon de ce que l’on croyait être un nouvel exécutable de MountLocker contenant une nouvelle fonctionnalité de ver qui lui permet de se propager et de crypter sur d’autres appareils du réseau.

Une brève analyse a déterminé que vous pouviez activer la fonction de ver en exécutant l’échantillon du programme malveillant avec l’argument de ligne de commande /NETWORK. Comme cette fonctionnalité nécessite un domaine Windows, nos tests ont rapidement échoué, comme indiqué ci-dessous.

mountlocker

Après avoir partagé l’échantillon avec Vitali Kremez, PDG d’Advanced Intel, il a été découvert que MountLocker utilise désormais l’API des interfaces de service Windows Active Directory dans le cadre de sa fonction de ver.

Le ransomware utilise d’abord la fonction NetGetDCName() pour récupérer le nom du contrôleur de domaine. Ensuite, il exécute des requêtes LDAP sur l’ADS du contrôleur de domaine à l’aide de la fonction ADsOpenObject() avec les informations d’identification transmises dans la ligne de commande.

mountlocker

Une fois connecté aux services Active Directory, il effectuera une itération sur la base de données pour les objets de «objectclass=computer», comme indiqué dans l’image ci-dessus.

Pour chaque objet qu’il trouve, MountLocker tentera de copier l’exécutable du ransomware dans le dossier ‘\C$\ProgramData’ du périphérique distant.

Le ransomware créera ensuite à distance un service Windows qui charge l’exécutable afin qu’il puisse procéder au chiffrement de l’appareil.

mountlocker

En utilisant cette API, le ransomware peut trouver tous les appareils qui font partie du domaine Windows compromis et les chiffrer à l’aide des informations d’identification de domaine volées.

«De nombreux environnements d’entreprise reposent sur des forêts Active Directory complexes et des ordinateurs à l’intérieur. Maintenant, MountLocker est le premier ransomware connu à exploiter des connaissances architecturales d’entreprise uniques au profit de l’identification de cibles supplémentaires pour l’opération de chiffrement en dehors du réseau normal et l’analyse de partage», a déclaré Kremez dans une conversation sur le malware.

«C’est le virage quantique de la professionnalisation du développement de ransomwares pour l’exploitation des réseaux d’entreprise».

Comme les administrateurs réseau de Windows utilisent couramment cette API, Kremez pense que le pirate informatique qui a ajouté ce code a probablement une certaine expérience de l’administration de domaine Windows. « 

Bien que cette API ait été vue dans d’autres logiciels malveillants, tels que TrickBot, il s’agit peut-être du premier «ransomware d’entreprise pour les professionnels» à utiliser ces API pour effectuer une reconnaissance intégrée et se propager sur d’autres appareils.

Laisser un commentaire