El ransomware LockBit toma ejemplo de REvil y Maze para mantenerse actualizado

El ransomware LockBit toma ejemplo de REvil y Maze para mantenerse actualizado

Recientemente se ha descubierto que el ransomware Lockibit está incorporando nuevas funcionalidades. Siguiendo el ejemplo de REvil y Maze, Lockbit está amenazando a sus víctimas con la publicación de los datos en el caso de que no se llegue a efectuar el pago, además de incorporar una nueva técnica de escalada de privilegios.

Atendiendo a la evolución que está teniendo el ransomware se espera que otras familias incorporen esta nueva técnica para eludir el control de cuentas de usuarios de Windows. Hasta ahora se han visto numerosas familias que eran copias de otras ya existentes, según explican en Sophos, «se ha vuelto increíblemente fácil copiar y desplegar ransomware haciendo unas pequeñas modificaciones».

La curva de aprendizaje del ransomware

Muchas familias de ransomware parecen seguir el mismo esquema a la hora del desarrollo e incorporación de nuevas funcionalidades, esto parece provenir de la curva de aprendizaje en la creación de ransomware.

Cada ransomware parece tener una primera fase o «infancia». Aquí se pone en marcha un mínimo producto viable para poder sacarlo y empezar a ganar reputación. En esta fase las cadenas suelen ser texto sin formato, el cifrado se implementa usando un solo subproceso y en algunos casos también se realizan comprobaciones de LanguageID para evitar el cifrado de archivos en equipos de la CEI (Comunidad de Estados Independientes).

Aproximadamente a los dos meses de haber desplegado la primera versión los desarrolladores empiezan a implementar mejoras en el código, por ejemplo la inclusión de varios subprocesos, ofuscación de cadenas y alguna lista para matar procesos en el sistema. Además no es de extrañar que los desarrolladores publiciten su producto en determinados foros dedicados al desarrollo de malware.

A los cuatro meses de vida el ransomware ha podido evolucionar hasta convertirse en RaaS, cambiando el modelo de negocio para los ciberdelincuentes e incorporando un programa de «afiliados». Ahora es común encontrar que los archivos han sido cifrados criptográficamente mediante certificados válidos y robados. En esta fase los desarrolladores suelen incorporar algún tipo de sistema para «bypassear» el UAC (User Account Control). Es en esta fase donde parece encontrarse LockBit.

Consiguiendo clientes

En enero los desarrolladores de LockBit crearon un nuevo hilo en un foro dedicado a la venta y soporte de este tipo de malware para anunciar el programa de afiliados para Cryptolocker LockBit, donde daban más detalles sobre las capacidades de su malware. Además destacan que no trabajan en la CEI, por lo que no se verá afectados los equipos Rusos o pertenecientes a la Comunidad de Estados Independientes. Esto no es ninguna novedad y es debido a que las fuerzas de seguridad de la CEI no se molestan en investigar a los grupos que operen fuera de su jurisdicción.

La extorsión

La versión más reciente de LockBit nos muestra una nota de rescate que amenaza con filtrar los datos que el malware ha robado y cifrado en nuestro equipo.

Si la amenaza se llevase a cabo esto podría ocasionar graves problemas para las víctimas del ransomware, puesto que se estarían violando las reglas generales de protección de datos (RGPD) de la UE, que hacen que las empresas sean las responsables de la protección de los datos sensibles de sus clientes.

Cada vez es más común encontrar este tipo de características en el malware dedicado al secuestro de datos. Es una técnica especialmente efectiva para forzar el pago dado que no solo nos bastaría con restaurar una copia de seguridad para solucionar el problema con el cifrado de nuestros archivos, estamos expuestos a la voluntad del atacante. Esta forma de extorsión se ha convertido en la «firma» del ransomware REvil y Maza, incluso el grupo Maze ha publicado en ocasiones alguno de los archivos robados para forzar el pago de aquellos que sobrepasan la fecha límite.

Identificación de la víctima

Como se mencionó anteriormente, los desarrolladores de LockBit querían evitar que su ransomware golpeara a las víctimas en los países de la Comunidad de Estados Independientes (CEI). El mecanismo utilizado por el ransomware para lograr esto llama a GetUserDefaultLangID y busca constantes específicas del identificador de idioma en la configuración del formato de región para el usuario actual. Si la configuración de idioma del usuario actual coincide con alguno de los valores a continuación, el ransomware se cierra y no inicia la rutina de cifrado.

El futuro para LockBit

Una publicación reciente en Twitter demuestra cómo es el futuro de LockBit. En un reciente ataque, el MBR se sobrescribió, lo que quiere decir que la máquina infectada no se iniciará a menos que se proporcione una contraseña.

El hash de esta muestra no se conoce actualmente.

Mas info: unaaldia.hispasec.com

Comments are closed.