jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » mountlocker

mountlocker

Threat-actor 3 min lectura threat-actor
Fecha
25 May 2026
Actor
threat-actor
Tipo
Threat-actor
Pais
United States
Sector
-
Confianza
medium

Key Points

  • Acesso inicial: Uso de credenciales RDP comprometidas para acceder a redes corporativas.
  • Movimiento lateral: Propagación a través de APIs de Active Directory, permitiendo el acceso a múltiples sistemas dentro de una red.
  • Ataque a archivos: Encriptación de más de 2.600 tipos de archivo, maximizando el impacto del secuestro.
  • Encriptar grandes cantidades de datos críticos.
  • Exigir pagos para desencriptar los archivos comprometidos.

mountlocker

mountlocker

Perfil del Actor

mountlocker es un actor de amenaza que opera como ransomware-as-a-service (RaaS) desde julio de 2020. Este modelo de operación implica que el grupo se especializa en la creación y comercialización de ransomware, con una estructura basada en divididos de ingresos entre desarrolladores y afiliados. El actor utiliza técnicas de acceso inicial basadas en credenciales de RDP (Remote Desktop Protocol) y se propaga lateralmente mediante APIs de Windows Active Directory.

mountlocker ha sido identificado como un grupo de amenaza que ataca a organizaciones, priorizando la encriptación de archivos con una amplia lista de extensiones, afectando más de 2.600 tipos de archivo diferentes.

Origen y Motivación

Aunque no se han revelado detalles sobre su origen geográfico o sus motivaciones específicas, el modelo RaaS sugiere que el grupo prioriza la ganancia financiera mediante el secuestro de datos. La utilización de credenciales comprometidas para acceso inicial y APIs de Active Directory indica una estrategia orientada a la ciberdelincuencia, donde las organizaciones son blancos típicos debido a su vulnerabilidad en sistemas de autenticación.

Técnicas y Tacticas (TTPs)

mountlocker emplea técnicas específicas para propagar su ransomware:

  • Acesso inicial: Uso de credenciales RDP comprometidas para acceder a redes corporativas.
  • Movimiento lateral: Propagación a través de APIs de Active Directory, permitiendo el acceso a múltiples sistemas dentro de una red.
  • Ataque a archivos: Encriptación de más de 2.600 tipos de archivo, maximizando el impacto del secuestro.

Campanas Conocidas

Se han reportado 19 víctimas conocidas afectadas por mountlocker. Aunque no se detallan las campañas específicas, el grupo ha demostrado una capacidad para atacar a organizaciones de diversos sectores, con un enfoque en la violación de datos críticos y la extorsión financiera.

Objetivos y Victimas

mountlocker prioriza la encriptación de archivos sensibles y el robo de información confidencial. Sus objetivos incluyen:

  • Encriptar grandes cantidades de datos críticos.
  • Exigir pagos para desencriptar los archivos comprometidos.
  • Maximizar el impacto económico mediante la extorsión de organizaciones.

Indicadores de Compromiso (IOCs)

Tipo Valor Contexto
Domain mountnewsokhwilx.onion Locations

Detección y Defensa

Para mitigar el impacto de mountlocker, las organizaciones deben:

  • Monitorear credenciales RDP: Detectar actividades anómalas en sistemas que usan RDP.
  • Revisar APIs de Active Directory: Identificar movimientos laterales inusuales dentro de la red.
  • Implementar controles de acceso: Limitar el uso de credenciales con privilegios elevados.
  • Actualización constante: Mantener sistemas y aplicaciones actualizados para mitigar vulnerabilidades.
← Volver al panel de inteligencia

Incidentes recientes

Clínica Vida12 Jun 2026 · direwolf Jewelex12 Jun 2026 · direwolf Nueva Pescanova Group12 Jun 2026 · direwolf Did Asia12 Jun 2026 · direwolf CCS GLOBAL TECH12 Jun 2026 · bravox www.progress-security.com12 Jun 2026 · krybit aisem.gob.bo12 Jun 2026 · krybit DISTINET MURCIA SL12 Jun 2026 · qilin