Uma nova gangue de ransomware chamada Mount Locker iniciou suas operações roubando dados das vítimas antes de criptografar.
De acordo com o BleepingComputer, os operadores de ransomware estão exigindo resgates multimilionários.
Como outros operadores de ransomware, o Mount Locker começou a visar redes corporativas, ele está ativo desde o final de julho de 2020.
“A partir de notas de resgate compartilhadas com BleepingComputer pelas vítimas, a gangue de Mount Locker está exigindo pagamentos de resgate de milhões de dólares em alguns casos.” relatou BleepingComputer .
Em um dos ataques atribuídos ao grupo, a quadrilha roubou 400 GB de dados da vítima e ameaçou compartilhá-los com concorrentes, veículos de comunicação e canais de TV, caso o resgate não fosse pago.
A vítima decidiu não pagar o resgate e o grupo publicou seus dados em seu site de vazamento de dados.
Atualmente, o site de vazamento de dados inclui o nome de outras supostas vítimas e, para uma delas, continha os arquivos vazados.
Recentemente, os operadores de ransomware alegaram ter roubado os arquivos da ThyssenKrupp System Engineering, da empresa de segurança Gunnebo e do fornecedor de componentes Nitonol Memry e Makalot.
De acordo com os populares pesquisadores de malware Michael Gillespie , o Mount Locker usa ChaCha20 para criptografar os arquivos e uma chave pública RSA-2048 incorporada para criptografar a chave de criptografia.
O malware anexa a extensão .ReadManual.ID aos nomes dos arquivos criptografados.
A nota de resgate, chamada RecoveryManual.html, inclui instruções sobre como acessar um site Tor, que é um serviço de bate-papo que permite às vítimas se comunicarem com os operadores de ransomware.
Os especialistas confirmaram que o processo de criptografia implementado pelo ransomware não é afetado por nenhuma falha, o que significa que não é possível recuperar os arquivos das vítimas gratuitamente.
Fonte: https://securityaffairs.co/wordpress/108840/malware/mount-locker-ransomware.html
Pesquisadores da Huntress identificaram uma campanha massiva de phishing que usa infraestrutura da Railway e…
A Mazda informou que um acesso externo não autorizado a um sistema ligado à gestão…
A CVE-2026-32746, com CVSS 9.8, afeta o telnetd do GNU InetUtils até a versão 2.7…
A campanha GlassWorm voltou com escala muito maior e já atingiu 433 componentes em GitHub,…
Como o golpe funcionava- O atacante publicou um projeto “parecido com legítimo” no GitHub, usando…
Falha crítica no better-auth permite criar API keys sem autenticação para usuários arbitrários, com risco…