Le nouveau Ransomware MountLocker utilise l'extorsion et l'exfiltration de données

Des chercheurs en sécurité ont identifié un nouveau ransomware nommé MountLocker spécialisé dans l’infection et l’exfiltration de données, suivant la tendance établie en 2020 par des menaces similaires.

MountLocker est distribué sur un modèle de ransomware-as-a-service (RaaS), ce qui signifie que ses créateurs ne l’utilisent pas eux-mêmes pour attaquer des organisations. En 2020, la menace des ransomwares a franchi un nouveau cap, passant de simples systèmes de chiffrement à des procédures plus complexes impliquant le vol de données et le chantage.

Maze, un groupe qui prétend avoir cessé son action, est un exemple tristement célèbre de ransomware similaire. Certaines de leurs cibles les plus célèbres incluent SpaceX et Cognizant. Il est difficile de dire si les opérateurs de Maze se sont réellement arrêtés ou s’ils sont en train de revenir sous un autre nom.

Quoi qu’il en soit, le ransomware MountLocker est plus récent et est toujours en cours de développement. Il a reçu une mise à jour importante en novembre alors que les opérateurs tentent d’échapper aux outils de cybersécurité. Le ransomware chiffre les fichiers des victimes à l’aide de ChaCha20 et les clés sont chiffrées via RSA-2048.

«Le ransomware semble être somme toute sûr; il n’a pas de faiblesses évidentes permettant une récupération et un déchiffrement faciles des clés », déclarent les chercheurs en sécurité de BlackBerry. “MountLocker utilise cependant pour générer des clés de chiffrement une méthode cryptographiquement non sécurisée susceptible d’être attaquée.”

Comme Maze, le ransomware MountLocker utilise le protocole FTP pour voler des données, permettant aux cybercriminels de faire chanter leurs victimes, en plus d’exiger le paiement de la clé de déchiffrement. Le chantage est une réponse directe à l’utilisation d’outils de sauvegarde et de cyberassurance.

«Depuis sa création, le groupe MountLocker a été vu à la fois en train d’étendre et d’améliorer ses services et ses logiciels malveillants», ont également déclaré les chercheurs.

Même si leurs outils ne sont pas aussi avancés que certains groupes de ransomwares plus anciens, ce n’est probablement pas la dernière fois que nous entendons parler de MountLocker, car le groupe semble s’adapter et se préparer à des campagnes agressives.