El ransomware LockFile surgió en julio 2021. El ransomware ha estado explotando las vulnerabilidades de ProxyShell en los servidores de Microsoft Exchange en sus ataques. Las fallas se implementan "para violar los objetivos sin parchear, servidores de Microsoft Exchange locales, seguido de un ataque de retransmisión PetitPotam NTLM para tomar el control del dominio,"Según Mark Loman de Sophos.
Lo que es más notable sobre este ransomware, sin embargo, es su cifrado. Hasta ahora, ningún ransomware conocido ha utilizado el cifrado intermitente, y ha sido elegido por los actores de la amenaza con fines de evasión.
Explicación del cifrado intermitente de LockFile Ransomware
Esta característica en particular es lo que establece LockFile además de otras familias de ransomware. ¿Cómo funciona el cifrado intermitente?? El criptovirus cifra cada 16 bytes de un archivo en un intento de evadir la detección por las soluciones de protección contra ransomware. Al parecer,, un documento cifrado de esta manera se parece mucho al original cifrado.
La evasión es posible en los casos en que las herramientas anti-ransomware utilizan el llamado "chi-cuadrado (chi ^ 2)"Análisis, alterar la forma estadística en que se realiza este análisis y, por lo tanto, confundirlo. ¿Qué significa este?
"Un archivo de texto sin cifrar de 481 KB (decir, un libro) tiene una puntuación de chi ^ 2 de 3850061. Si el documento fue cifrado por DarkSide ransomware, tendría una puntuación de chi ^ 2 de 334 - lo cual es una clara indicación de que el documento ha sido encriptado. Si el mismo documento está encriptado por LockFile ransomware, todavía tendría una puntuación de chi ^ 2 significativamente alta de 1789811 ", explicó Loman.
Una vez que todos los archivos estén encriptados en el sistema de destino, el ransomware se evapora sin dejar rastro, borrándose a sí mismo con un comando PING. En otras palabras, LockFile no deja un binario de ransomware detrás, lo que evita que los respondedores de incidentes y las soluciones antivirus lo encuentren.
También es digno de mención que el ransomware no necesita conectarse a un servidor de comando y control., haciendo que su comportamiento bajo el radar sea aún más sofisticado. “Esto significa que puede cifrar datos en máquinas que no tienen acceso a Internet," Loman concluyó.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme:
Gracias por compartir información valiosa., para ransomware utiliza cifrado intermitente único.
Gracias por compartir..