Depuis mi-octobre 2020 et pour répondre aux besoins d’enquêtes en cours, l’équipe BlackBerry chargée de la gestion des réponses aux incidents (BlackBerry Incident Response Team) suit de très près l’évolution des campagnes d’affiliation de MountLocker. De façon générale, les hackers affiliés à MountLocker compromettent les systèmes, propagent le ransomware et procèdent à l’exfiltration des données de leurs victimes.

En collaboration avec la BlackBerry Research and Intelligence Team, les chercheurs et enquêteurs ont établi, dans un rapport inédit, l’ampleur et les méthodes du phénomène MountLocker. De façon plus précise, il révèlent de nombreux détails sur les acteurs et les affiliés ainsi que sur les ransomwares, les clé de décryptages, les tactiques, techniques, et procédures (TTPs) utilisés.

Voici une liste non exhaustive des conclusions du rapport :

• MountLocker est un Ransomware-as-a-Service (RaaS) actif depuis juillet 2020
• Mis à jour en novembre 2020, le ransomware MountLocker peut désormais cibler une plus grande variété de types de fichier et éviter sa détection par les logiciels de sécurité
• Les fichiers des victimes sont cryptés à l’aide du code ChaCha20, et les clés de cryptage des fichiers le sont à l’aide de RSA-2048
• Le ransomware semble résistant et sécurisé : il ne présente pas de failles majeures permettant la récupération des clés de décryptages. MountLocker utilise cependant une méthode de génération de clé non cryptée et donc non sécurisée le rendant par conséquent sensible auxattaques
• Le comportement et les outils des affiliés MountLocker ont été analysés et :
o Ils utilisent des outils commerciaux tels que CobaltStrike Beacon pour déployer le ransomware MountLocker
o Ils exfiltrent les données sensibles de leurs victimes via un FTP avant de les encrypter
o Il utilisent le chantage et menacent de divulguer au public les données volées afin d’extorquer les victimes et les contraindre à payer des rançons importantes
• Les particularités du RaaS ainsi que le programme d’affiliation permettent un ciblage géographiquement diversifié et de plus en plus important.