Вымогатель MountLocker использует Windows API для перемещения по сети
20/05/21
Команда специалистов MalwareHunterTeam сообщила о новой версии вымогательского ПО MountLocker, которая обзавелась червеобразной функцией. Программа-вымогатель MountLocker теперь способна использовать корпоративные API-интерфейсы Windows Active Directory для перемещения по сетям и шифрования других устройств.
Вредонос сначала использует функцию NetGetDCName () для получения имени контроллера домена. Затем он выполняет LDAP-запросы к ADS контроллера домена с помощью функции ADsOpenObject () с учетными данными, переданными в командной строке. После подключения к службам Active Directory вымогатель перебирает базу данных на предмет объектов «objectclass = computer». Для каждого найденного объекта MountLocker попытается скопировать исполняемый файл в папку «\C$\ProgramData» удаленного устройства. Затем вымогатель удаленно создает службу Windows, которая загружает исполняемый файл, чтобы продолжить шифрование устройства.
Используя этот API, программа-вымогатель может найти все устройства, которые являются частью взломанного домена Windows, и зашифровать их, используя украденные учетные данные домена.
«MountLocker — первая известная программа-вымогатель, которая использует уникальные корпоративные схемы сетей для выявления дополнительных целей шифрования», — пояснил директор Advanced Intel Виталий Кремез (Vitali Kremez) изданию BleepingComputer.
По словам специалистов, поскольку сетевые администраторы Windows обычно используют данный API, злоумышленник, внедривший этот код, вероятно, имеет некоторый опыт администрирования доменов Windows.
Как отметили эксперты, данный образец вредоноса предназначен для киберпреступной группировки XingLocker, которая была обнаружена в мае 2021 года.