Uma nova gangue de ransomware chamada Mount Locker iniciou suas operações roubando dados das vítimas antes de criptografar.
De acordo com o BleepingComputer, os operadores de ransomware estão exigindo resgates multimilionários.
Como outros operadores de ransomware, o Mount Locker começou a visar redes corporativas, ele está ativo desde o final de julho de 2020.
“A partir de notas de resgate compartilhadas com BleepingComputer pelas vítimas, a gangue de Mount Locker está exigindo pagamentos de resgate de milhões de dólares em alguns casos.” relatou BleepingComputer .
Em um dos ataques atribuídos ao grupo, a quadrilha roubou 400 GB de dados da vítima e ameaçou compartilhá-los com concorrentes, veículos de comunicação e canais de TV, caso o resgate não fosse pago.
A vítima decidiu não pagar o resgate e o grupo publicou seus dados em seu site de vazamento de dados.
Atualmente, o site de vazamento de dados inclui o nome de outras supostas vítimas e, para uma delas, continha os arquivos vazados.
Recentemente, os operadores de ransomware alegaram ter roubado os arquivos da ThyssenKrupp System Engineering, da empresa de segurança Gunnebo e do fornecedor de componentes Nitonol Memry e Makalot.
De acordo com os populares pesquisadores de malware Michael Gillespie , o Mount Locker usa ChaCha20 para criptografar os arquivos e uma chave pública RSA-2048 incorporada para criptografar a chave de criptografia.
O malware anexa a extensão .ReadManual.ID aos nomes dos arquivos criptografados.
A nota de resgate, chamada RecoveryManual.html, inclui instruções sobre como acessar um site Tor, que é um serviço de bate-papo que permite às vítimas se comunicarem com os operadores de ransomware.
Os especialistas confirmaram que o processo de criptografia implementado pelo ransomware não é afetado por nenhuma falha, o que significa que não é possível recuperar os arquivos das vítimas gratuitamente.
Fonte: https://securityaffairs.co/wordpress/108840/malware/mount-locker-ransomware.html
IA está comprimindo a janela entre divulgação e exploração a ponto de ficar negativa. A…
Operação NoVoice espalhou-se por mais de 50 apps do Google Play e explorou falhas antigas…
Grupo Inc reivindica ataque contra a prefeitura de Meriden, Connecticut. A cidade desligou serviços e…
A Alemanha expôs o líder ligado a GandCrab/REvil e reforçou o alerta sobre rebrandings no…
BlueHammer é um zero‑day LPE que explora o Windows Defender e eleva um usuário comum…
Drift Protocol suspendeu depósitos e saques após ataque na Solana. Estimativas apontam perdas entre US$…