Los desarrolladores del ransomware LockBit estaban creando en secreto una nueva versión de su malware de cifrado de archivos, denominado LockBit-NG-Dev, que probablemente se convertirá en LockBit 4.0, cuando las fuerzas del orden derribaron la infraestructura del cibercriminal a principios de esta semana.
Como resultado de la colaboración con la Agencia Nacional contra el Crimen del Reino Unido, la empresa de ciberseguridad Trend Micro analizó una muestra del último desarrollo de LockBit que puede funcionar en múltiples sistemas operativos.
LockBit de Próxima Generación
Si bien el malware LockBit anterior está construido en C/C++, la muestra más reciente es un trabajo en progreso escrito en .NET que parece estar compilado con CoreRT y empaquetado con MPRESS.
Trend Micro dice que el malware incluye un archivo de configuración en formato JSON que describe los parámetros de ejecución, como el rango de fechas de ejecución, detalles de la nota de rescate, ID únicos, clave pública RSA y otros indicadores operativos.
Aunque la firma de seguridad dice que el nuevo cifrador carece de algunas características presentes en iteraciones anteriores (por ejemplo, la capacidad de autopropagarse en redes violadas, imprimir notas de rescate en las impresoras de las víctimas), parece estar en sus etapas finales de desarrollo y ya ofrece la mayoría de las funciones esperadas. funcionalidad.
Admite tres modos de cifrado (usando AES+RSA), a saber, “rápido”, “intermitente” y “completo”, tiene exclusión personalizada de archivos o directorios y puede aleatorizar el nombre de los archivos para complicar los esfuerzos de restauración.
Las opciones adicionales incluyen un mecanismo de autoeliminación que sobrescribe el contenido del propio archivo de LockBit con bytes nulos.
Trend Micro ha publicado un análisis profundamente técnico del malware, que revela los parámetros de configuración completos para LockBit-NG-Dev.
El descubrimiento del nuevo cifrador LockBit es otro golpe que las fuerzas del orden asestaron a los operadores de LockBit a través de la Operación Cronos.
Incluso si los servidores de respaldo todavía están controlados por la pandilla, restaurar el negocio cibercriminal debería ser un desafío difícil cuando los investigadores de seguridad conocen el código fuente del malware cifrado.