O ransomware LockBit estava construindo secretamente um criptografador de próxima geração antes de ser desativado
23 de Fevereiro de 2024

Os desenvolvedores do ransomware LockBit estavam secretamente construindo uma nova versão de seu malware de criptografia de arquivos, apelidada de LockBit-NG-Dev - provavelmente se tornará o LockBit 4.0, quando a polícia derrubou a infraestrutura do cibercriminoso no início desta semana.

Como resultado da colaboração com a Agência Nacional de Crime do Reino Unido, a empresa de cibersegurança Trend Micro analisou uma amostra do mais recente desenvolvimento do LockBit que pode funcionar em vários sistemas operacionais.

Enquanto o malware LockBit anterior é construído em C/C++, a última amostra é um trabalho em andamento escrito em .NET que parece ser compilado com CoreRT, e embalado com MPRESS.

A Trend Micro diz que o malware inclui um arquivo de configuração em formato JSON que descreve os parâmetros de execução, como faixa de data de execução, detalhes da nota de resgate, IDs únicos, chave pública RSA e outras bandeiras operacionais.

Embora a empresa de segurança diga que o novo criptografador carece de alguns recursos presentes em iterações anteriores (por exemplo, capacidade de auto-propagação em redes violadas, impressão de notas de resgate nas impressoras das vítimas), parece estar em suas fases finais de desenvolvimento, já oferecendo a maioria das funcionalidades esperadas.

Ele suporta três modos de criptografia (usando AES+RSA), a saber, "rápido", "intermitente" e "completo", possui exclusão de arquivo ou diretório personalizado e pode randomizar a nomenclatura do arquivo para complicar os esforços de restauração.

Opções adicionais incluem um mecanismo de auto-exclusão que sobrescreve os próprios conteúdos do arquivo LockBit com bytes nulos.

A Trend Micro publicou uma análise altamente técnica sobre o malware, que revela os parâmetros de configuração completos para o LockBit-NG-Dev.

A descoberta do novo criptografador LockBit é outro duro golpe que a polícia deu aos operadores do LockBit através da Operação Cronos.

Mesmo que servidores de backup ainda sejam controlados pela gangue, restaurar o negócio cibercriminoso deve ser um grande desafio quando o código-fonte para o malware criptografador é conhecido por pesquisadores de segurança.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...