Эксперты выявили связь между группировками Mount Locker и Astro Locker

Эксперты в области кибербезопасности из компании Sophos выявили связь между вымогательскими группировками Mount Locker и Astro Locker. Команда специалистов Managed Threat Response (MTR) расследовала атаку, в рамках которой использовались тактики, техники и процедуры операции Mount Locker. Однако, когда исследователи перешли по ссылке в записке с требованием выкупа, на связь вышла команда «поддержки», представившаяся как Astro Locker.

В ходе дальнейшего расследования команда MTR обнаружила, что все пять пострадавших организаций, перечисленных на сайте утечек Astro Locker Team, также были указаны на аналогичном сайте Mount Locker. Кроме того, некоторые из утекших данных, содержащие ссылку на сайт Mount Locker, размещались на onion-сайте Astro Locker.

«Возможно, группа Mount Locker хочет провести ребрендинг, создать новый и более профессиональный образ, или это может быть попытка запустить модель «вымогательское-ПО-как-услуга» (RaaS). Тем не менее, если какие-либо организации станут жертвой Astro Locker в будущем, они должны расследовать инцидент, как в случае с Mount Locker», — пояснили специалисты.

Как полагают эксперты, операторы Mount Locker могут совместно использовать некоторые серверы с группировкой Ragnar Locker, хотя последняя, ​​похоже, еще не является частью ее схемы RaaS.