LockFile: El nuevo ransomware que solo cifra cada 16 bytes de los archivos infectados

Un reciente reporte señala la detección de una nueva variante de ransomware surgida después del hallazgo de las vulnerabilidades ProxyShell, encontradas en los servidores de Microsoft Exchange. Esta nueva variante, identificada como ransomware LockFile, emplea un método de cifrado muy agresivo y capaz de evadir la detección en los sistemas afectados.

Acorde a los investigadores de Sophos, la variante LockFile está programada para cifrar cada 16 bytes de un archivo, creando una diferencia casi imperceptible y que la mayoría de las soluciones de seguridad más populares no identificarán. El investigador de Sophos Mark Loman afirma que este método, bautizado como “cifrado intermitente”, no había sido visto anteriormente.

Según el reporte, todo comienza con la explotación de las vulnerabilidades ProxyShell en implementaciones Exchange sin actualizar; posteriormente, los hackers usan un ataque de relay PetitPotam NTLM con el fin de tomar control de un dominio afectado. Los actores de amenazas utilizan el protocolo MS-EFSRPC para conectarse a un servidor, secuestrar la sesión de autenticación y manipular los resultados de manera que el servidor crea que el atacante tiene un derecho legítimo de acceso.

Los operadores de LockFile comparten algunas características con otros grupos de hacking, incluyendo sus tácticas y procedimientos y el uso de una conexión a un C&C malicioso: “Al igual que operaciones de malware como WastedLocker y Maze, LockFile utiliza entrada/salida mapeada en memoria para cifrar un archivo”, agrega el experto.

Una muestra del ransomware obtenida por los investigadores permitió determinar que LockFile parece tener solo tres funciones y tres secciones. La primera sección (identificada como OPEN) solo contiene ceros; la segunda sección (CLSE) incluye las tres funciones del malware y está a cargo del envío de datos a la sección OPEN.

En su nota de rescate, los hackers exigen a las víctimas que se comuniquen con una dirección de correo electrónico específica. Esta dirección email fue creada hace un par de semanas y parece estar asociada al peligroso grupo de ransomware Conti.

El investigador concluye mencionando que el método de cifrado empleado por este grupo de ransomware es tan poco común que el malware compromete los dispositivos y aún así es posible seguir accediendo a fragmentos de la información comprometida, así que recomienda tener cuidado con cualquier potencial intento de ataque.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).