0
0
Um novo ransomware denominado LokiLocker vem, aos poucos, se tornando popular entre os cibercriminosos, alertam pesquisadores. O programa malicioso, descoberto em agosto do ano passado, usa uma técnica de ofuscação de código relativamente rara e inclui um componente de limpeza de arquivos que os invasores podem usar contra vítimas não compatíveis.
Em um novo relatório, a equipe de pesquisa e inteligência em ameaças da BlackBerry diz que o LokiLocker é uma família de ransomware relativamente nova que visa vítimas de língua inglesa e PCs com Windows. “A ameaça foi vista pela primeira vez em meados de agosto de 2021″, disseram os pesquisadores de segurança da BlackBerry. “Não deve ser confundido com uma família de ransomware mais antiga chamada Locky, que era ativa em 2016, ou LokiBot, que é um infostealer. Ele compartilha algumas semelhanças com o ransomware LockBit [valores de registro, nome do arquivo de nota de resgate, por exemplo] mas não tem parece ser seu descendente direto.”
Até agora, no entanto, ao que tudo indica, a oferta de ransomware como serviço (RaaS) do LokiLocker obteve a adesão de um pequeno número de afiliados cuidadosamente selecionados — pessoas ou grupos de cibercriminosos que fazem a implantação real do ransomware em troca de ficar com uma parte do pagamento de resgate. Os pesquisadores da BlackBerry estimam que o LokiLocker possui atualmente cerca de 30 afiliados.
O LokiLocker foi escrito na linguagem de programação .NET, mas seu código é ofuscado com uma versão modificada do ConfuserEX em combinação com o KoiVM. Esses são dois protetores de código-fonte aberto para aplicativos .NET. O objetivo do ConfuserEX e KoiVM é dificultar a engenharia reversa com o objetivo de proteger o código-fonte proprietário de aplicativos comerciais, mas os operadores de malware às vezes usam esses programas para evitar serem detectados por programas de segurança e pesquisadores. “O uso do KoiVM pelo LokiLocker como um protetor de virtualização para aplicativos .NET é um método incomum de complicar a análise”, disseram os pesquisadores.
Quando executado pela primeira vez em um computador, o LokiLocker copia a si mesmo e configura a persistência usando uma tarefa agendada e entradas de registro de inicialização. O malware tem um arquivo de configuração que os afiliados podem personalizar e que pode ser usado para instruir o malware.
Os pesquisadores do BlackBerry dizem que, até o momento, não há uma ferramenta gratuita capaz de descriptografar arquivos criptografados pelo LokiLocker. Segundo eles, ele normalmente começa a criptografar arquivos nos seguintes diretórios: Favoritos, Recentes, Área de trabalho, Pessoal, Minhas imagens, Meus vídeos e Minhas músicas. Em seguida, criptografa os arquivos em todas as unidades locais, mas isso depende da configuração do afiliado. Existem opções para criptografar apenas a unidade C ou ignorar a unidade C. O malware também possui funcionalidade de varredura de rede, que pode ser usada para detectar e criptografar compartilhamentos de rede, mas o uso dessa funcionalidade também é configurável.
Por fim, o LokiLocker contém um módulo de limpeza que tenta excluir arquivos de todas as unidades locais e, em seguida, substitui o Master Boot Record (MBR) do disco rígido, o que deixa o sistema incapacitado de inicializar no sistema operacional. Em vez disso, o usuário visualiza uma mensagem dizendo: “Você não nos pagou, então excluímos todos os seus arquivos”. A funcionalidade do limpador será acionada automaticamente com base em um cronômetro definido para 30 dias, mas configurável.
Origens do LokiLocker
Não está claro quem são os autores do LokiLocker, mas os pesquisadores do BlackBerry observam que as strings de depuração encontradas no malware são escritas em inglês sem grandes erros de ortografia que às vezes são comuns com desenvolvedores de malware russos ou chineses. Em vez disso, existem alguns links potenciais para o Irã, mas eles podem ser plantados para afastar os pesquisadores de malware.
O malware contém a string “Irã” em uma rotina potencialmente destinada a definir países que devem ser excluídos da criptografia de arquivos, que é uma abordagem comum para alguns criadores de ransomware. No entanto, esta funcionalidade não parece ser implementada ainda.
Algumas das primeiras amostras do LokiLocker foram distribuídas como uma versão trojanizada de ferramentas de verificação de credenciais de força bruta, como PayPal BruteChecker, Spotify BruteChecker, PiaVPN Brute Checker e FPSN Checker. Algumas dessas ferramentas — não as versões trojanizadas — são criadas por uma equipe de crackers iraniana chamada AccountCrack. Além disso, pelo menos três afiliados do LokiLocker têm nomes de usuário que também podem ser encontrados em fóruns de hackers iranianos.
FONTE: CISO ADVISOR