برمجية طلب الفدية MountLocker أصبحت أقل حجمًا

كشف باحثو شركة بلاك بيري عن المزيد من التفاصيل الجديدة حول برمجية طلب الفدية المسماة MountLocker التي ظهرت هذا الصيف، والتي يروج لها المتسللون بصفتها الخدمة الضارة القابلة للتأجير.

وبدأت برمجية طلب الفدية هذه عملها في شهر يوليو 2020، وهي تستهدف شبكات الشركات، وتلقت تحديثًا أدى إلى تقليل حجمها إلى النصف.

ويسرق مشغلوها البيانات قبل تشفيرها، ويهددون الضحايا بتسريب الملفات ما لم يتم تلبية مطالبهم بفدية بملايين الدولارات.

ورأى باحثو البرامج الضارة في النصف الثاني من شهر نوفمبر الإصدار الثاني من MountLocker مع أدلة على أن مشغليها يستعدون للهجمات.

وأظهرت الأبحاث أن مطوري برمجية طلب الفدية أضافوا امتدادات للملفات المرتبطة ببرنامج TurboTax لإعداد مستندات الإقرار الضريبي.

وقلل مطورو البرمجية الضارة من حجم النسخة المصممة وفقًا لتقنية 64 بت إلى 46 كيلوبايت، مما يعني أن الإصدار الثاني أصغر بنحو 50 في المئة من الإصدار الأول.

وللوصول إلى ذلك، قاموا بإزالة القائمة الخاصة بامتدادات الملفات التي تحتوي على أكثر من 2600 إدخال مُستهدف للتشفير.

وتستهدف البرمجية الآن قائمة أصغر بكثير، مع استبعاد أنواع الملفات التي يمكن استبدالها بسهولة المتضمنة: EXE و DLL و SYS و MSI و MUI و INF و CAT و BAT و CMD و PS1 و VBS و TTF و FON و LNK.

وتتشابه التعليمات البرمجية الجديدة مع التعليمات البرمجية القديمة، وكان التغيير الأكبر هو عملية حذف النُسخ الاحتياطية لوحدة التخزين، وإنهاء العمليات التي تتم الآن باستخدام برنامج PowerShell النصي قبل تشفير الملفات.

وتقول بلاك بيري: إن 70 في المئة من التعليمات البرمجية في الإصدار الثاني من MountLocker هي نفسها كما في الإصدار الأول، ومن ضمنها الوظيفة غير الآمنة الخاصة بواجهة برمجة التطبيقات لويندوز المسماة GetTickCount والمستخدمة لتوليد مفتاح التشفير العشوائي.

وتم التخلي عن GetTickCount لصالح GetTickCount64، وتسرد شركة مايكروسوفت كلا الوظيفتين بصفتهما طرقًا غير آمنة لتوليد الأرقام العشوائية.

وأظهر تحقيق بلاك بيري في حملات MountLocker أن المهاجمين غالبًا ما يصلون إلى شبكة الضحية عبر الاتصال بسطح المكتب البعيد RDP من خلال البيانات المخترَقة.

وبالرغم من كونها جديدة، فمن الواضح أن هذه السلالة من برامج طلب الفدية تسعى وراء الأموال بشكل كبير، ومن المرجح أن توسع عملياتها لتحقيق أقصى ربح، ويتوقع الباحثون أنها ستواصل جهودها على المدى القصير.