Investigadores de BlackBerry Threat Intelligence descubrieron una cepa de ransomware relativamente nueva. Este ransomware está programado para borrar el disco y los datos de los equipos objetivo, eliminando así todos los archivos que no pertenecen al sistema y los registros de arranque (boot) si no se paga un rescate.
LokiLocker lleva activo desde mediados de agosto de 2021. Opera bajo un modelo de ransomware como servicio. BlackBerry afirmó que la cepa se vende a afiliados seleccionados y verificados. «Cada afiliado se identifica con un nombre de usuario y se le asigna un número de identificación de chat único. Actualmente, existen alrededor de 30 afiliados ‘VIP’ diferentes en las muestras de LokiLocker que los investigadores de BlackBerry han encontrado circulando».
El creciente uso de malware de borrado de discos en medio del conflicto entre Ucrania y Rusia ha animado a la banda de ransomware LokiLocker a utilizar malware similar en sus operaciones. LokiLocker ahora va más allá del método de doble extorsión que se popularizó en los últimos dos años.
LokiLocker amenaza con borrar todos los archivos del sistema objetivo, además de cifrarlos, si la víctima no paga el rescate. Esto es posible gracias a una función de borrado opcional en la variante LokiLocker, que elimina todos los archivos que no son del sistema, eliminando así cualquier posibilidad de negociación. Sin embargo, los operadores/afiliados de LokiLocker dan a las víctimas un plazo para pagar el rescate antes de usar la función de borrado.
LokiLocker utiliza una combinación estándar de AES para el cifrado de archivos y RSA para la protección de claves para bloquear los archivos en el equipo objetivo.
Escrito en .NET y protegido con NETGuard mediante un complemento de virtualización llamado KoiVM, LokiLocker incluso sobrescribe el registro de arranque (MBR). El MBR es básicamente información que permite a un sistema localizar e iniciar el sistema operativo almacenado en el disco de un equipo. Sin el MBR, el disco queda inutilizado y no arranca, a menos que se recupere,
«La buena noticia» es que, al no exfiltrar datos de la organización, les impide filtrar públicamente información confidencial. Esto podría eliminar cualquier influencia adicional que quieran ejercer, pero a la banda de LokiLocker probablemente no le importe.
La imagen a continuación representa cómo se vería un ataque exitoso:
Los atacantes también publican un archivo HTA que, curiosamente, desaconseja pagar el rescate antes de descifrar algunos archivos de prueba. El grupo afirmó que descifraría tres archivos de prueba gratuitamente para demostrar su garantía de descifrado.
Los atacantes de ransomware que utilizan la cepa LokiLocker se dirigen principalmente a usuarios de PC con Windows de habla inglesa. El origen de LokiLocker sigue siendo desconocido, pero según los hallazgos de BlackBerry, que indican que las cadenas de depuración integradas contienen principalmente gramática sin errores y palabras en inglés correctamente escritas, es improbable que esta cepa se originara en Rusia y China.
BlackBerry afirmó que «algunas de las herramientas de cracking utilizadas para distribuir las primeras muestras de LokiLocker parecen haber sido desarrolladas por un equipo llamado AccountCrack. Además, al menos tres de los afiliados conocidos de LokiLocker utilizan nombres de usuario únicos que se pueden encontrar en canales de hacking».
Además, el análisis de malware indica que la cepa LokiLocker impide que los sistemas sean cifrados y atacados.
«Estos detalles complican aún más las cosas. Con estafadores y actores de amenazas, puede ser difícil distinguir entre una pista significativa y una bandera falsa, y nunca se puede estar seguro de hasta qué punto llega el engaño», añadió BlackBerry Threat Intelligence.
¿Se puede mitigar el impacto de LokiLocker?
Mitigar un ataque de LokiLocker es similar a mitigar cualquier tipo de ransomware: mantener una sólida estrategia de seguridad y realizar copias de seguridad de datos con regularidad. Dado que LokiLocker simplemente amenaza con borrar los datos de los sistemas objetivo sin exfiltrarlos ni presionar a la víctima para que los filtre, una copia de seguridad sin conexión a internet puede reducir el impacto.
NOTA: Actualmente no se conoce un descifrador para LokiLocker.
Fuente y redacción: segu-info.com.ar
