0
0
A gangue LockBit está construindo ransomware para novas arquiteturas, abrindo mão do Windows e potencialmente colocando problemas totalmente novos para suas vítimas ao longo do caminho.
Em um blog publicado em 22 de junho, pesquisadores da Kaspersky descrevem ter “tropeçado” em um arquivo .ZIP com um monte de amostras de malware LockBit dentro. Os exemplos parecem ter derivado das variações de criptografia anteriores do LockBit visando hipervisores VMWare ESXi.
As amostras tiveram como alvo o FreeBSD e o Linux – uma tendência crescente entre os atores de ransomware – além de várias tecnologias embarcadas, incluindo firmware ISA (instruction set architecture) para CPUs, como ARM, MIPS, ESA/390 e PowerPC, bem como o Apple M1, um system-on-chip (SoC) baseado em ARM usado em dispositivos Mac e iPad.
As amostras eram claramente um trabalho em andamento, observou a Kaspersky, já que “por exemplo, a amostra do macOS não estava assinada, então não poderia ser executada como está. Além disso, o método de criptografia de cadeia de caracteres era simples: XOR de um byte.”
No entanto, se eventualmente chegarem à natureza, essas novas variantes de ransomware podem ser úteis para a LockBit enquanto ela tenta se manter relevante, diz Jason Baker, analista de inteligência de ameaças da GuidePoint Security. “Em um mercado RaaS cada vez mais lotado competindo por talentos e alvos, esse tipo de comportamento diferenciador pode acabar beneficiando a LockBit, apesar dos custos adicionais e do menor volume de metas.”
O LockBit pode entregar ransomware incorporado?
Especialmente após o fim de Conti, a LockBit assumiu o manto como a principal gangue de ransomware do mundo. No entanto, o mês passado trouxe uma queda notável em sua atividade. Embora a indústria de ransomware tenha crescido como um todo, a LockBit fez 30% menos vítimas do que no mês anterior.
Talvez, em retrospectiva, estivesse dedicando tempo e recursos extras para desenvolver seu novo malware. Ou, talvez, o novo malware seja uma resposta ao seu declínio.
De qualquer forma, sua nova direção é motivo de preocupação para os defensores. Analistas de segurança já levantaram o alarme sobre SoCs Android em 2021, Apple M1 em 2022 e várias vulnerabilidades em SoCs AMI populares foram reveladas no início deste ano.
“Estamos vendo um aumento de relatórios ultimamente relacionados a dispositivos embarcados sendo usados para persistência”, relata Adam Pennington, líder do projeto MITRE, embora grandes ataques ainda não tenham sido demonstrados na natureza.
A LockBit enfrentará obstáculos para romper esse teto de vidro, explica Callie Guenther, gerente sênior de pesquisa de ameaças cibernéticas da Critical StartActually. “Ao contrário dos sistemas operacionais tradicionais, os sistemas embarcados e os dispositivos IoT geralmente têm restrições de recursos, poder de processamento limitado e configurações de hardware específicas. O ransomware projetado para SoCs precisa ser adaptado a essas limitações e adaptado ao ambiente especializado”, ressalta.
“Além disso”, ela continua, “os SoCs geralmente executam firmware especializado ou sistemas operacionais personalizados, o que pode exigir uma abordagem diferente em termos de entrega de carga útil, execução e técnicas de evasão. O ransomware direcionado a SoCs pode precisar explorar vulnerabilidades ou fraquezas específicas dentro do firmware ou da arquitetura do sistema para obter controle sobre o dispositivo e criptografar seus dados.”
Baker especula que o desafio pode ser parte do apelo para a LockBit. “A razão mais provável para atingir SoCs que não estão sendo visados por outros grupos, como o silício da Apple, é por uma questão de força e prestígio da marca. Grupos maiores e mais avançados, como o LockBit, têm a experiência e os recursos internos para resolver esse conjunto de problemas, e desenvolver um recurso exclusivo não disponível em outros lugares continuaria a destacar o grupo como pioneiro no ecossistema de ransomware como serviço (RaaS)”, diz ele.
Por que o malware incorporado é difícil de excisar
A razão para se preocupar com o ransomware para tecnologias embarcadas, explica Pennington, não é apenas que ele é novo e desconhecido. É também que essas tecnologias são mais fáceis de ignorar e, às vezes, mais difíceis de proteger.
“A maioria das empresas concentra fortemente seus esforços de segurança no Windows, apesar de vários outros servidores e sistemas operacionais embarcados ocuparem exatamente as mesmas redes. Entre outras razões, mirar nessas plataformas alternativas pode ser uma maneira realmente eficaz de escapar das defesas existentes”, avalia Pennington.
Ele apresenta um cenário em que “um ransomware ou outro ator infecta uma rede, os defensores limpam o tipo de sistemas onde têm visibilidade e ferramentas para ver e gerenciar sistemas e, meses depois, descobrem que um implante foi deixado para trás em algo como uma câmera de segurança baseada em Linux rodando em uma dessas outras arquiteturas”.
Para evitar que os invasores ganhem essa vantagem, diz Pennington, “as organizações precisam considerar um conjunto diversificado de sistemas operacionais e arquiteturas quando se protegerem, e não apenas seus sistemas Windows”.
“Quase todo mundo está rodando algum número de sistemas com esses tipos de sistemas operacionais e chips”, enfatiza, “mesmo que eles não percebam”.
FONTE: DARK READING