Ransomware : rencontre avec le groupe MountLocker

Auteur des piratages de Mersen, Dassault Falcon ou encore Thyssen Krupp, Mountlocker est un maillon de cette constellation malveillante d’utilisateurs de ransomware. ZATAZ a pu croiser Mountlocker, et lui poser quelques questions.

Présent depuis la fin juin 2020, les pirates du groupe MountLocker ne sont pas les plus actifs. Ils affichent cependant d’importantes entreprises dans un tableau de chasse qui a impacté plus d’une vingtaine de sociétés de par le monde : Geo Techeng, Mersen, Wasserstorm, Faps, Transtar, HTC, Amey, Dassault Falcon, Forrester, Century 3, Enerstar, Thyssen Krupp, Memry, Gunnebo ou encore Makalot.

Comme la grande majorité des ransomwares, Mountlocker est un outil malveillant en location, un Ransomware-as-a-Service. Les abonnés (affiliés) sont généralement responsables des compromissions initiales, de l’installation et exécution du ransomware et de l’exfiltration des données de la société infiltrée. Le logiciel Mountlocker a déjà connu une mise à jour, en novembre 2020. Mission de ce « patch », intercepter plus de fichiers chez les victimes et contrer plus de systèmes de sécurité. Vous retrouverez les chiffres dédiés à Mountlocker dans l’enquête ZATAZ « Ransomware 365« .

Interview

Mais qui se cache derrière ces pirates ? Que veulent-ils vraiment ? ZATAZ a réussi à joindre ce qui semble être le leader de MountLocker. Comme dans l’interview de Maze en son temps, ou encore d’un affilié Avaddon / Ruyk, la motivation première reste l’argent. Si mon témoin ne s’est pas présenté (il peut aussi s’agir d’une dame), il a signé A, je suis sûr à 100% de son appartenance à la « direction » de Mount Locker. Attention, je ne suis aucunement solidaire avec les propos tenus, mais il est important de comprendre ce qu’est ce genre de pirate pour mieux s’en protéger.

1 – Qui est Mount Locker et qu’est-ce que Mount Locker ?
A : Juste du business. Nous sommes un groupe international.

1b – De quelle région du monde êtes-vous (Est, Ouest, Sud, Nord) ?
A : Je ne sais pas. Nous ne nous sommes jamais vus.

2 – Vous êtes très discrets par rapport aux autres groupes, pourquoi ?
A : Pourquoi pas ? Chaque groupe a sa propre façon de faire.

3 – Vous affichez plus d’une dizaine d’entreprises sur votre site, certaines ont disparu. Est-ce que cela signifie que des entreprises ont payé ?
A : La plupart des entreprises paient la rançon. Parfois, les entreprises affichées paient et nous les supprimons. Parfois la raison de la disparition est simplement l’expiration du temps d’affichage. lol.

4 – Combien recevez-vous par entreprise ?
A : C’est individuel. Nous préférons cibler uniquement les grandes entreprises multimilliardaires. Elles peuvent payer plus de 10 millions de dollars. Les petites entreprises ne peuvent pas payer beaucoup. Mais cela demande beaucoup plus de temps et de travail.

5 – Combien de clients avez-vous eu ?
A : Plus que sur notre site d’information, mais moins que certains autres groupes.

6 – Mount Locker est une personne, un groupe avec des affiliés ?
A : On ne peut pas imaginer qu’une seule personne fasse tout.

7 – Qu’est-ce qui vous a motivé à devenir « Mount Locker » ?
A : Parce que nous le pouvons.

8 – Quand vous parlez de « partenariat », s’agit-il des affiliés, ou d’autres groupes ?
A : Les deux.

Les pirates cachent des espaces de stockages comprenant les données qu’ils ont pu voler dans leurs infiltrations. – Capture : zataz.com

9 – Quel est le partage de l’argent collecté ? 70/30 ? 80/20 ?
A : Beaucoup plus complexe. Tout est individuel.

10 – Comment recrutez-vous ?
A : Par la réputation.

11 – Quelle a été l’infiltration la plus étonnante que vous ayez rencontrée ?
A : La première. C’était vraiment étonnant.

14 – Que faites-vous dans la journée, à part infiltrer des entreprises ?
A : La plupart d’entre nous ont une famille, des enfants, des amoureux, des parents, des animaux de compagnie, des hobbies, des problèmes, etc.

15 – Votre famille connait-elle vos activités ?
A : Je ne peux pas le dire pour tout le monde. En général, non.

16 – Que faites-vous de l’argent que vous gagnez ?
A : Je le dépense avec sagesse.

17 – Vos actions vous permettent de gagner de l’argent, mais est-ce aussi un moyen de punir les entreprises qui ne se protègent pas ?
A : Nous utilisons les trous de sécurité des réseaux de la même manière que les avocats utilisent les trous juridiques.

18 – Avez-vous peur d’être arrêté comme Netwalker ou Egregor ?
A : Tout le monde peut être arrêté. Tu choisis, tu gagnes, tu perds.

19 – Que pensez-vous de ces arrestations ?
A : Les policiers sont des gens intelligents. Ils ont travaillé dur pour les attraper.

20 – Pourquoi le nom « Mount locker » ?
A : Nous aimons les montagnes.

21 – Que ferez dans un an ?
A : Être heureux.

22 – Nous entendons dire que la majorité des ransomwares sont contrôlés par les autorités chinoises ou russes ? Qu’en pensez-vous ?
A : Je ne peux pas y croire. Peut-être que certains groupes travaillent avec des gouvernements de manière très privée. Mais le gouvernement a une échelle incomparablement plus grande. Je pense qu’ils ont autre chose à faire que du ransomware.

23 – Quelles sont vos relations avec les entreprises de cybersécurité ? Travaillez-vous avec certaines d’entre elles pour être payé ? Comme l’a raconté Sodinokibi, certaines d’entre elles prennent une marge sur les rançons, vous pouvez le croire ?
A : Ce n’est pas trop risqué pour les deux parties ? Gérer quelques négociations du côté du client pour faire baisser la rançon – oui, possible.

24 – Si vous aviez un message à transmettre aux entreprises, quel serait-il ?
A : Assurance, rapidité et actions sont vos meilleurs amis en cas de blocage.