Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Вымогатель MountLocker использует Windows API для перемещения по сети

20/05/21

hack7-2Команда специалистов MalwareHunterTeam сообщила о новой версии вымогательского ПО MountLocker, которая обзавелась червеобразной функцией. Программа-вымогатель MountLocker теперь способна использовать корпоративные API-интерфейсы Windows Active Directory для перемещения по сетям и шифрования других устройств.

Вредонос сначала использует функцию NetGetDCName () для получения имени контроллера домена. Затем он выполняет LDAP-запросы к ADS контроллера домена с помощью функции ADsOpenObject () с учетными данными, переданными в командной строке. После подключения к службам Active Directory вымогатель перебирает базу данных на предмет объектов «objectclass = computer». Для каждого найденного объекта MountLocker попытается скопировать исполняемый файл в папку «\C$\ProgramData» удаленного устройства. Затем вымогатель удаленно создает службу Windows, которая загружает исполняемый файл, чтобы продолжить шифрование устройства.

Используя этот API, программа-вымогатель может найти все устройства, которые являются частью взломанного домена Windows, и зашифровать их, используя украденные учетные данные домена.

«MountLocker — первая известная программа-вымогатель, которая использует уникальные корпоративные схемы сетей для выявления дополнительных целей шифрования», — пояснил директор Advanced Intel Виталий Кремез (Vitali Kremez) изданию BleepingComputer.

По словам специалистов, поскольку сетевые администраторы Windows обычно используют данный API, злоумышленник, внедривший этот код, вероятно, имеет некоторый опыт администрирования доменов Windows.

Как отметили эксперты, данный образец вредоноса предназначен для киберпреступной группировки XingLocker, которая была обнаружена в мае 2021 года.

Темы:WindowsУгрозыВымогателиMalwareHunterTeamХакерские атаки
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...