LockBit construyó en secreto encriptador de ultima generación

Los desarrolladores de ransomware LockBit estaban construyendo en secreto una nueva versión de su malware de cifrado de archivos, denominado LockBit-NG-Dev, que probablemente se convertirá en LockBit 4.0, cuando las fuerzas del orden desmantelaron la infraestructura del ciberdelincuente a principios de esta semana.

Como resultado de la colaboración con la Agencia Nacional contra el Crimen del Reino Unido, la empresa de ciberseguridad Trend Micro analizó una muestra del último desarrollo de LockBit que puede funcionar en múltiples sistemas operativos.

LockBit de última generación

Mientras que el malware LockBit anterior está construido en C/C++, el ejemplo más reciente es un trabajo en progreso escrito en .NET que parece estar compilado con CoreRT y empaquetado con MPRESS.

Trend Micro dice que el malware incluye un archivo de configuración en formato JSON que describe los parámetros de ejecución, como el rango de fechas de ejecución, los detalles de la nota de rescate, los ID únicos, la clave pública RSA y otras banderas operativas.


Aunque la firma de seguridad dice que el nuevo encriptador carece de algunas características presentes en iteraciones anteriores (por ejemplo, la capacidad de autopropagarse en redes violadas, imprimir notas de rescate en las impresoras de la víctima), parece estar en sus etapas finales de desarrollo, ya ofreciendo la mayor parte de la funcionalidad esperada.

Admite tres modos de cifrado (mediante AES+RSA), a saber, "rápido", "intermitente" y "completo", tiene exclusión personalizada de archivos o directorios y puede aleatorizar la nomenclatura de los archivos para complicar los esfuerzos de restauración.


Las opciones adicionales incluyen un mecanismo de autoeliminación que sobrescribe el contenido del archivo propio de LockBit con bytes nulos.

Trend Micro ha publicado un análisis profundamente técnico del malware, que revela los parámetros de configuración completos de LockBit-NG-Dev.

El descubrimiento del nuevo encriptador LockBit es otro golpe que las fuerzas del orden asestaron a los operadores de LockBit a través de la Operación Cronos. Incluso si los servidores de respaldo todavía están controlados por la banda, restaurar el negocio de los ciberdelincuentes debería ser un desafío difícil cuando los investigadores de seguridad conocen el código fuente del malware de cifrado.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta