Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Вымогатель MountLocker использует Windows API для перемещения по сети

20/05/21

hack7-2Команда специалистов MalwareHunterTeam сообщила о новой версии вымогательского ПО MountLocker, которая обзавелась червеобразной функцией. Программа-вымогатель MountLocker теперь способна использовать корпоративные API-интерфейсы Windows Active Directory для перемещения по сетям и шифрования других устройств.

Вредонос сначала использует функцию NetGetDCName () для получения имени контроллера домена. Затем он выполняет LDAP-запросы к ADS контроллера домена с помощью функции ADsOpenObject () с учетными данными, переданными в командной строке. После подключения к службам Active Directory вымогатель перебирает базу данных на предмет объектов «objectclass = computer». Для каждого найденного объекта MountLocker попытается скопировать исполняемый файл в папку «\C$\ProgramData» удаленного устройства. Затем вымогатель удаленно создает службу Windows, которая загружает исполняемый файл, чтобы продолжить шифрование устройства.

Используя этот API, программа-вымогатель может найти все устройства, которые являются частью взломанного домена Windows, и зашифровать их, используя украденные учетные данные домена.

«MountLocker — первая известная программа-вымогатель, которая использует уникальные корпоративные схемы сетей для выявления дополнительных целей шифрования», — пояснил директор Advanced Intel Виталий Кремез (Vitali Kremez) изданию BleepingComputer.

По словам специалистов, поскольку сетевые администраторы Windows обычно используют данный API, злоумышленник, внедривший этот код, вероятно, имеет некоторый опыт администрирования доменов Windows.

Как отметили эксперты, данный образец вредоноса предназначен для киберпреступной группировки XingLocker, которая была обнаружена в мае 2021 года.

Темы:WindowsУгрозыВымогателиMalwareHunterTeamХакерские атаки
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...