Investigadores de BlackBerry Threat Intelligence descubrieron una cepa de
ransomware relativamente nueva, probablemente originaria de Irán. Llamado
LokiLocker, en honor al «dios nórdico de las travesuras«,
este ransomware está programado para borrar el disco y los datos de los
equipos objetivo, eliminando así todos los archivos que no pertenecen al
sistema y los registros de arranque (boot) si no se paga un
rescate.
LokiLocker lleva activo desde mediados de agosto de 2021. Opera bajo un modelo de ransomware como servicio. BlackBerry afirmó que la cepa se vende a afiliados seleccionados y verificados. «Cada afiliado se identifica con un nombre de usuario y se le asigna un número de identificación de chat único. Actualmente, existen alrededor de 30 afiliados ‘VIP’ diferentes en las muestras de LokiLocker que los investigadores de BlackBerry han encontrado circulando».
El creciente uso de malware de borrado de discos en medio del conflicto entre
Ucrania y Rusia ha animado a la banda de ransomware LokiLocker a utilizar
malware similar en sus operaciones. LokiLocker ahora va más allá del
método de doble extorsión que se popularizó en los últimos dos años.
LokiLocker amenaza con borrar todos los archivos del sistema objetivo, además
de cifrarlos, si la víctima no paga el rescate. Esto es posible gracias a una
función de borrado opcional en la variante LokiLocker, que elimina
todos los archivos que no son del sistema, eliminando así cualquier
posibilidad de negociación. Sin embargo, los operadores/afiliados de
LokiLocker dan a las víctimas un plazo para pagar el rescate antes de usar la
función de borrado.
LokiLocker utiliza una combinación estándar de AES para el cifrado de archivos
y RSA para la protección de claves para bloquear los archivos en el equipo
objetivo.
Escrito en .NET y protegido con NETGuard mediante un complemento de
virtualización llamado KoiVM, LokiLocker incluso sobrescribe el registro de
arranque (MBR). El MBR es básicamente información que permite a un sistema
localizar e iniciar el sistema operativo almacenado en el disco de un equipo.
Sin el MBR, el disco queda inutilizado y no arranca, a menos que se recupere,
«La buena noticia» es que, al no exfiltrar datos de la organización, les
impide filtrar públicamente información confidencial.
Esto podría eliminar cualquier influencia adicional que quieran ejercer, pero
a la banda de LokiLocker probablemente no le importe.
La imagen a continuación representa cómo se vería un ataque exitoso:
Los atacantes también publican un archivo HTA que, curiosamente, desaconseja
pagar el rescate antes de descifrar algunos archivos de prueba. El grupo
afirmó que descifraría tres archivos de prueba gratuitamente para demostrar su
garantía de descifrado.
Los atacantes de ransomware que utilizan la cepa LokiLocker se dirigen
principalmente a usuarios de PC con Windows de habla inglesa. El origen de
LokiLocker sigue siendo desconocido, pero según los hallazgos de BlackBerry,
que indican que las cadenas de depuración integradas contienen principalmente
gramática sin errores y palabras en inglés correctamente escritas, es
improbable que esta cepa se originara en Rusia y China.
BlackBerry afirmó que «algunas de las herramientas de cracking utilizadas para
distribuir las primeras muestras de LokiLocker parecen haber sido
desarrolladas por un equipo iraní llamado AccountCrack. Además, al menos tres
de los afiliados conocidos de LokiLocker utilizan nombres de usuario únicos
que se pueden encontrar en canales de hacking iraníes».
Además, el análisis de malware indica que la cepa LokiLocker impide que los
sistemas iraníes sean cifrados y atacados. Por ello, esta cepa de ransomware
parece haberse originado en Irán. O bien eso, o alguien está intentando culpar
a los iraníes.
«Estos detalles complican aún más las cosas. Con estafadores y actores de
amenazas, puede ser difícil distinguir entre una pista significativa y una
bandera falsa, y nunca se puede estar seguro de hasta qué punto llega el
engaño», añadió BlackBerry Threat Intelligence.
¿Se puede mitigar el impacto
de LokiLocker?
Mitigar un ataque de LokiLocker es similar a mitigar cualquier tipo de
ransomware: mantener una sólida estrategia de seguridad y realizar copias de
seguridad de datos con regularidad. Dado que LokiLocker simplemente amenaza
con borrar los datos de los sistemas objetivo sin exfiltrarlos ni presionar a
la víctima para que los filtre, una copia de seguridad sin conexión a internet
puede reducir el impacto.
NOTA: Actualmente no se conoce un descifrador para LokiLocker.
Fuente: BlackBerry