0
0
Recém-descoberto, o LockFile funciona rápido, tem várias maneiras de evitar a detecção e ataca sistemas Windows com vulnerabilidades conhecidas
Uma nova ameaça de ransomware chamada LockFile tem vitimado empresas em todo o mundo desde julho. A chave para seu sucesso são alguns novos truques que tornam mais difícil para as soluções antiransomware detectá-lo.
O ransomware usa o que os pesquisadores da Sophos chamam de “criptografia intermitente”, o que significa que criptografa apenas pedaços de dados dentro de um arquivo, em vez de seu conteúdo completo. Isso acelera o processo de criptografia, ou melhor, o processo de corrupção de dados e engana os sistemas de proteção de ransomware que dependem de análises estatísticas para detectar criptografia de arquivos potencialmente não autorizados.
O malware aproveita a interface de gerenciamento do Windows para verificar e eliminar processos importantes associados a aplicativos de negócios, incluindo máquinas virtuais Hyper-V, gerenciador Oracle VM Virtual Box, serviços Oracle VM Virtual Box, Microsoft SQL Server, banco de dados MySQL, Oracle MTS Serviço de recuperação, Oracle RDBMS Kernel, Oracle TNS Listener e máquinas virtuais VMware.
O objetivo de eliminar esses processos é remover quaisquer bloqueios de sistema colocados em bancos de dados, máquinas virtuais ou arquivos de configuração inseridos por esses aplicativos para que o ransomware possa criptografá-los. Aproveitando interface de gerenciamento do Windows, os processos parecerão encerrados pelo próprio sistema, não pelo executável do ransomware. Esta é outra técnica de evasão de detecção que também é projetada para complicar a resposta a incidentes.
Outro truque digno de nota é a maneira como o LockFile executa operações nos arquivos. O malware não modifica diretamente os arquivos no disco, mas os mapeia primeiro na memória RAM do sistema, realiza as modificações lá e, em seguida, depende do processo do sistema Windows para confirmar as modificações no disco.
Criptografia intermitente
O uso de criptografia intermitente, no entanto, é um novo desenvolvimento que os pesquisadores da Sophos descobriram nesse ransomware. Outras ameaças como LockBit 2.0, DarkSide e BlackMatter usaram criptografia parcial, criptografando apenas o início dos documentos para acelerar o processo, mas a abordagem do LockFile é diferente e significativa.
Do ponto de vista da segurança, a criptografia incompleta é ruim porque deixa os dados expostos, mas o objetivo do ransomware não é a privacidade dos dados. É a corrupção de dados controlada e reversível que usa apenas a criptografia como uma ferramenta. Portanto, o ransomware não precisa criptografar todo o conteúdo dos arquivos, mas apenas o suficiente para torná-los inutilizáveis para o usuário, que é o que LockBit 2.0, DarkSide e BlackMatter conseguem criptografando a parte inicial dos arquivos.
Alguns programas de detecção de ransomware usam testes de análise estatística para detectar se uma modificação do arquivo é o resultado da criptografia do arquivo. Se o teste indicar que um arquivo foi criptografado, o programa impedirá que o processo modifique arquivos adicionais.
O LockFile foi distribuído explorando uma série de vulnerabilidades em servidores Microsoft Exchange conhecidos como ProxyShell (CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207). Patches para essas vulnerabilidades estão disponíveis desde abril e maio, mas apesar de serem mais sérios e fáceis de explorar do que a vulnerabilidade ProxyLogon explorada para instalar shells da web em servidores Exchange, eles não receberam o mesmo nível de atenção. Como resultado, muitas organizações não corrigiram seus servidores.
FONTE: NEOTEL