Os hackers da LockBit estavam desenvolvendo secretamente uma nova versão de seu malware de criptografia de arquivos, apelidado de LockBit-NG-Dev, provavelmente se tornará LockBit 4.0, quando a polícia derrubou a infraestrutura do grupo no início desta semana.
Como resultado da colaboração com as agências de segurança de combate ao crime do Reino Unido, a empresa de segurança cibernética Trend Micro analisou uma amostra do mais recente desenvolvimento do LockBit que pode funcionar em vários sistemas operacionais.
Embora o malware anterior da LockBit seja baseado em C/C++, o exemplo analisado é desenvolvido em .NET que parece ter sido compilado com CoreRT e empacotado com MPRESS.
A Trend Micro afirma que o malware inclui um arquivo de configuração no formato JSON que descreve os parâmetros de execução, como intervalo de datas de execução, detalhes da nota de resgate, IDs exclusivos, chave pública RSA e outros sinalizadores operacionais.
Configuração descriptografada (Trend Micro)
Embora a empresa de segurança diga que o novo criptografador não possui alguns recursos presentes em iterações anteriores (por exemplo, capacidade de autopropagação em redes violadas, impressão de notas de resgate nas impressoras das vítimas), ele parece estar em seus estágios finais de desenvolvimento, já oferecendo a maioria das funcionalidades.
Ele suporta três modos de criptografia (usando AES + RSA), ou seja, "rápido", "intermitente" e "completo", tem arquivo personalizado ou exclusão de diretório e pode randomizar a nomenclatura do arquivo para complicar os esforços de restauração.
Arquivo criptografado no modo intermitente (Trend Micro)
As opções adicionais incluem um mecanismo de autoexclusão que substitui o conteúdo do arquivo do próprio LockBit por bytes nulos.
A Trend Micro publicou uma análise técnica do malware, que revela os parâmetros completos de configuração do LockBit-NG-Dev.
A descoberta do novo ransomware LockBit é outro golpe dado pelas agências de combate a crimes cibernéticos aos membros do LockBit através da Operação Cronos. Mesmo que os servidores de backup ainda sejam controlados pelo grupo, restaurar toda a infraestrutura deve ser um desafio difícil quando já que o código-fonte do malware está em constante análise pelas agências de segurança.
Via - Bleeping Computer
Comentarios