O LokiLocker, uma forma relativamente nova de ransomware, usa o esquema padrão de extorsão por meio de criptografia, mas também incorpora a funcionalidade de limpeza de disco.
A extorsão dupla se tornou um sucesso no ano passado, quando gangues de ransomware começaram a roubar arquivos antes de criptografá-los para ameaçar as vítimas com um vazamento de dados confidenciais se não pagassem.
Em vez de os invasores usarem a ameaça de vazar os arquivos de uma vítima para pressioná-los a pagar, os “clientes” do LokiLock ameaçam substituir o Registro Mestre de Inicialização do Windows (MBR) da vítima, que limpa todos os arquivos e inutiliza a máquina. Mas essa tática efetivamente encerra todas as negociações sobre o pagamento, é claro.
A funcionalidade do limpador de disco entrou em foco recentemente por causa de ataques de malware destrutivos em organizações Ucranianas. O governo dos EUA teme que o malware destrutivo possa atingir organizações no Ocidente em retribuição às sanções contra a Rússia.
Historicamente, o malware limpador de disco tem sido frequentemente favorecido por hackers patrocinados pelo estado, como foi o caso de NotPetya, WhisperGate e HermeticWiper – todos conectados direta ou vagamente a pessoas patrocinadas pelo estado russo – onde o ransomware é um chamariz para a verdadeira intenção destrutiva.
Mas o ransomware comercialmente motivado que destrói o computador da vítima? Certamente parece ser um estilo diferente de negociação de resgate do ransomware vinculado aos russos.
“Com um único golpe, todos perdem”, de acordo com a BlackBerry.
No entanto, a Microsoft tem rastreado grupos de hackers iranianos emergentes – presumivelmente apoiados pelo estado ou afiliados – que estão empregando a criptografia e malwares destrutivos.
A empresa BlackBerry aponta algumas evidências que sugerem que o LokiLocker foi desenvolvido por hackers iranianos e projetado para atingir vítimas de língua inglesa.
A evidência: há muito poucos erros de ortografia em inglês nas strings de depuração do malware; Os afiliados do LokiLocker estão conversando em fóruns de hackers iranianos; e o Irã é o único local atualmente na lista negra para ativar a criptografia. Além disso, algumas ferramentas de quebra de credenciais distribuídas nas primeiras amostras do LokiLocker “parecem ser desenvolvidas por uma equipe iraniana de cracking chamada AccountCrack”.
“Embora não tenhamos conseguido avaliar com segurança exatamente de onde o LokiLocker RaaS se origina, vale a pena mencionar que todas as strings de depuração incorporadas estão em inglês e – ao contrário da maioria dos malwares originários da Rússia e da China – o idioma é amplamente livre de erros e erros de ortografia”, observa BlackBerry. “Não está totalmente claro se isso significa que eles realmente são originários do Irã ou que os verdadeiros atores da ameaça estão tentando culpar os atacantes iranianos”, afirmou.
É comum que as gangues de ransomware baseadas na Rússia não ativem malware em máquinas nas nações da Commonwealth of Independent States – geralmente configuradas por códigos de idioma específicos na lista negra nas configurações de idioma de uma máquina.
Quanto à funcionalidade do limpador de disco, a BlackBerry diz que o malware tentará destruir um sistema se um resgate não for pago dentro do prazo especificado. Ele exclui todos os arquivos da vítima, exceto os arquivos do sistema, e também tenta substituir o MBR e, depois de forçar uma mensagem de erro Tela Azul da Morte, reinicia a máquina limpa e exibe a mensagem: “Você não nos pagou. excluímos todos os seus arquivos : ) Loki locker ransomware_”.
Antes do prazo de pagamento, o malware altera a tela de login da vítima e o papel de parede da área de trabalho para a mensagem de resgate e solta um arquivo da web que exibe a nota de resgate na área de trabalho da vítima detalhando o tempo restante “para perder todos os seus arquivos”.
O LokiLocker é escrito em .NET e protegido com NETGuard (confuserEX modificado), usando um plug-in de virtualização adicional chamado KoiVM, de acordo com a BlackBerry.
“O uso do KoiVM pelo LokiLocker como um protetor de virtualização para aplicativos .NET é um método incomum de complicar a análise.
Para se proteger desse tipo de ataque, mantenha seus backups em dia, lembrando que apenas soluçoes de backup locais não protegem em sua totalidade, sempre tenha soluções de backup em nuvem para se proteger
Divulgação: zdnet.com
