Desmantelan infraestructura del ransomware LockBit y descubren nueva versión en desarrollo
Los desarrolladores arrestados del ransomware LockBit estaban construyendo en secreto una nueva versión de su malware de cifrado de archivos, denominada LockBit-NG-Dev, que probablemente se convertiría en LockBit 4.0, cuando la policía desmanteló la infraestructura de estos ciberdelincuentes a principios de esta semana.
Como resultado de la colaboración con la Agencia Nacional contra el Crimen del Reino Unido, la empresa de ciberseguridad Trend Micro analizó una muestra del último desarrollo de LockBit que puede funcionar en múltiples sistemas operativos.
LockBit de próxima generación
Mientras que el malware LockBit anterior está construido en C/C++, la última muestra es un trabajo en progreso escrito en .NET que parece estar compilado con CoreRT y empaquetado con MPRESS.
Trend Micro afirma que el malware incluye un archivo de configuración en formato JSON que describe los parámetros de ejecución, como el rango de fechas de ejecución, los detalles de la nota de rescate, los ID únicos, la clave pública RSA y otras banderas operativas.
Aunque la firma de seguridad dice que el nuevo cifrador carece de algunas características presentes en iteraciones anteriores (por ejemplo, la capacidad de autopropagarse en redes comprometidas, imprimir notas de rescate en las impresoras de la víctima), parece estar en sus etapas finales de desarrollo, ofreciendo ya la mayoría de las funcionalidades esperadas.
Soporta tres modos de cifrado (usando AES+RSA), a saber, “rápido”, “intermitente” y “completo”, tiene la opción de excluir archivos o directorios personalizados, y puede generar de forma aleatoria el nombre de los archivos para complicar los esfuerzos de restauración.
Las opciones adicionales incluyen un mecanismo de autoeliminación que sobrescribe el contenido del propio archivo de LockBit con bytes nulos.
Trend Micro ha publicado un análisis profundamente técnico del malware, que revela los parámetros completos de configuración de LockBit-NG-Dev.
El descubrimiento del nuevo cifrador LockBit es otro golpe que las fuerzas del orden han dado a los operadores de LockBit a través de la Operación Cronos. Incluso si los servidores de respaldo siguen estando controlados por la banda, restaurar el negocio ciberdelincuente debería ser un desafío difícil cuando el código fuente del malware de cifrado es conocido por los investigadores de seguridad.
