Clicky

El ransomware LockFile evita la protección mediante el cifrado intermitente de archivos

Pantalla de rescate del ransomware LockFile

Se borra del sistema después del cifrado exitoso de todos los documentos en la máquina

Una nueva familia de ransomware que surgió el mes pasado viene con su propia bolsa de trucos para evitar la protección de ransomware al aprovechar una novedosa técnica llamada "cifrado intermitente".

Llamado LockFile, se ha descubierto que los operadores del ransomware explotan fallas reveladas recientemente, como ProxyShell y PetitPotam, para comprometer los servidores de Windows e implementar malware de cifrado de archivos que codifica solo cada 16 bytes alternativos de un archivo, lo que le da la capacidad de evadir las defensas del ransomware.

"Los operadores de ransomware utilizan generalmente el cifrado parcial para acelerar el proceso de cifrado y lo hemos visto implementado por el ransomware BlackMatter, DarkSide y LockBit 2.0", dijo en un comunicado Mark Loman, director de ingeniería de Sophos. "Lo que distingue a LockFile es que, a diferencia de los demás, no cifra los primeros bloques. En cambio, LockFile cifra cada 16 bytes restantes de un documento".

"Esto significa que un archivo, como un documento de texto, permanece parcialmente legible y se parece estadísticamente al original. Este truco puede tener éxito contra el software de protección contra ransomware que se basa en inspeccionar el contenido mediante análisis estadístico para detectar el cifrado", agregó Loman.

El análisis de Sophos de LockFile proviene de un artefacto que se cargó en VirusTotal el 22 de agosto de 2021.

Una vez depositado, el malware también toma medidas para terminar los procesos críticos asociados con el software de virtualización y las bases de datos a través de la Interfaz de administración de Windows (WMI), antes de proceder a cifrar los archivos y objetos críticos, y mostrar una nota de ransomware que tiene similitudes estilísticas con la de LockBit 2.0.

código del ransomware LockFile

La nota de rescate también insta a la víctima a ponerse en contacto con una dirección de correo electrónico específica "Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.", que Sophos sospecha podría ser una referencia despectiva a un grupo de ransomware competidor llamado Conti.

Es más, el ransomware se borra del sistema después del cifrado exitoso de todos los documentos en la máquina, lo que significa que "no hay binario de ransomware para que los respondedores de incidentes o el software antivirus lo encuentren o limpien".

"El mensaje aquí para los defensores es que nunca se detiene el panorama de las amenazas cibernéticas, y los adversarios aprovecharán rápidamente todas las oportunidades o herramientas posibles para lanzar un ataque exitoso", dijo Loman.

La divulgación se produce cuando la Oficina Federal de Investigaciones (FBI) de EE. UU. publicó un informe Flash [PDF] que detalla las tácticas de un nuevo equipo de Ransomware-as-a-Service (RaaS) conocido como Hive, que consiste en una serie de actores que están utilizando múltiples mecanismos para comprometer las redes comerciales, exfiltrar datos y cifrar datos en las redes, e intentar cobrar un rescate a cambio de acceso al software de descifrado.

Jesus_Caceres