Ny ransomware – LokiLocker

LokiLocker bruger også en usædvanlig tilsløringsteknik for at undgå detektion.

En ny ransomware operation døbt LokiLocker har langsomt fået trækkraft siden august blandt cyberkriminelle. Programet bruger en relativt sjælden kode-sløringsteknik og omfatter en wiper-komponent, som hackerne kan bruge mod ikke-kompatible ofre.

“LokiLocker er en relativt ny ransomware-familie rettet mod engelsktalende ofre og Windows-pc’er. Truslen blev først set i midten af august 2021,” siger analytikere fra BlackBerrys Research & Intelligence Team i en ny rapport. “Det bør ikke forveksles med en ældre ransomware-familie kaldet Locky, som var berygtet i 2016, eller LokiBot, som er en infostealer. Det deler nogle ligheder med LockBit ransomware (registreringsdatabasen værdier, løsesum notat filnavn), men det synes ikke at være dens direkte efterkommer.”

Indtil videre ser det ud til, at LokiLocker ransomware-as-a-service (Raas) tilbud er blevet delt med et lille antal omhyggeligt undersøgte datterselskaber – enkeltpersoner eller grupper af cyberkriminelle, der gør den faktiske ransomware implementering for et snit af løsesummen. BlackBerry-analytikerne vurderer, at LokiLocker i øjeblikket har omkring 30 tilknyttede virksomheder.

LokiLockers tekniske evner

LokiLocker er skrevet i .NET programmeringssprog, men dens kode er korrumperet med en modificeret version af ConfuserEX i kombination med KoiVM. Dette er to open source-kodebeskyttere til .NET-applikationer. Målet med programmer som ConfuserEX og KoiVM er at gøre reverse engineering sværere med det formål at beskytte den proprietære kildekode til kommercielle applikationer, men malware forfattere bruger undertiden sådanne programmer til at undgå at blive opdaget af sikkerhedsprogrammer.

“LokiLockers brug af KoiVM som virtualiseringsbeskytter til .NET-applikationer er en usædvanlig metode til at komplicere analysen,”Siger forskerne. “Vi har ikke set mange andre trusselsaktører bruge det endnu, så dette kan være starten på en ny trend.”

Når det først udføres på en computer, kopierer LokiLocker sig selv som% ProgramData% / winlogon.exe og konfigurerer derefter vedholdenhed ved hjælp af en planlagt opgave og en opstartspost i registreringsdatabasen. Den malware har en konfiguration fil, som datterselskaber kan tilpasse, og som kan bruges til at instruere malware til:

Vis en falsk Windows Update-skærm

Dræb specifikke processer, og stop specifikke systemtjenester

Deaktiver Windows Jobliste

Slet systemsikkerhedskopier og Shadow Volume kopier

Deaktiver Windows Error Recovery og Windows Firewall

Fjern systemgendannelsespunkter

Tøm papirkurven

Deaktiver Windows Defender

Skift den meddelelse, der vises på brugerens loginskærm

Programet indsamler derefter oplysninger om det inficerede system og sender det til en hardkodet kommando-og-kontrol-server-URL. Serveren sender en offentlig RSA-nøgle tilbage, der vil blive brugt til at kryptere det offentlig-private nøglepar, der genereres af ransomware for hvert enkelt offer. Offerets offentlige RSA-nøgle bruges derefter til at kryptere den tilfældigt genererede AES-filkrypteringsnøgle. Hvis kommunikation med serveren ikke er mulig, den ransomware binær indeholder fem hard-kodede offentlige RSA nøgler, der kan bruges. Kun angriberne har RSA private nøgle, der dekrypterer offerets RSA private nøgle, der dekrypterer AES-nøglen, der er nødvendig til fildekryptering.

“Der er ikke noget gratis værktøj til at dekryptere filer krypteret af LokiLocker,”siger BlackBerry-analytikerne. “Hvis man allerede er inficeret med LokiLocker ransomware, er anbefalingen fra de fleste officielle sikkerhedsmyndigheder, som FBI, ikke at betale løsesummen.”

LokiLocker begynder at kryptere filer i følgende mapper: Favoritter, Seneste, Desktop, Personlig, MyPictures, MyVideos og MyMusic. Det vil derefter fortsætte med at kryptere filer på alle lokale drev, men det afhænger af affiliate’s konfiguration. Der er muligheder for kun at kryptere C-drevet eller springe C-drevet over. Malwaren har også netværksscanningsfunktionalitet, som kan bruges til at opdage og kryptere netværksaktier, men ved hjælp af denne funktionalitet kan den også konfigureres.

Endelig indeholder LokiLocker et wiper-modul, der vil forsøge at slette filer fra alle lokale, drev og derefter overskrive harddiskens Master Boot Record (MBR), hvilket vil efterlade systemet ude af stand til at starte op i operativsystemet. I stedet vil brugeren se en meddelelse, der læser: “Du betalte os ikke, så vi slettede alle dine filer.” Viskerfunktionaliteten udløses automatisk baseret på en timer, der er indstillet til 30 dage, men som kan konfigureres.

Der har været hændelser gennem årene, der involverer filsletning af malware, herunder for nylig i Ukraine. Mens nogle af disse ondsindede programmer har maskeret sig som ransomware som en distraktion, er det ikke almindeligt at have faktisk ransomware bundtet med en sådan funktionalitet. Nytten af at bruge denne hævnmekanisme baseret på en timer kan diskuteres, da offeret vil være klar over, at de blev ramt af ransomware, og det første skridt i et ransomware-hændelsesrespons er at neutralisere truslen og derefter beslutte, om der skal forhandles om fildekryptering.

LokiLocker oprindelse

Det er ikke klart, hvem der er forfatterne af LokiLocker, men BlackBerry-analytikerne bemærkede, at de fejlretningsstrenge, der findes i malware, er skrevet på engelsk uden større stavefejl, der undertiden er almindelige med russiske eller kinesiske malware-udviklere. I stedet, der er nogle potentielle links til Iran, men disse kunne plantes for at smide malware forskere.

Den malware indeholder strengen “Iran” i en rutine, der potentielt er beregnet til at definere lande, der bør udelukkes fra filkryptering, hvilket er en fælles tilgang for nogle ransomware skabere. Denne funktionalitet ser dog ikke ud til at være implementeret endnu.

Nogle af de tidligste prøver af LokiLocker blev distribueret som trojaniseret version af brute-force legitimationskontrolværktøjer såsom PayPal BruteChecker, Spotify BruteChecker, PiaVPN Brute Checker og FPSN Checker. Nogle af disse værktøjer – ikke deres trojaniserede versioner – er skabt af et iransk krakningsteam kaldet AccountCrack. Endvidere, mindst tre LokiLocker-tilknyttede virksomheder har brugernavne, der også kan findes på iranske hackingfora.

“Det er ikke helt klart, om det betyder, at de virkelig stammer fra Iran, eller at de virkelige hackere forsøger at kaste skylden på iranske angribere,” sagde BlackBerry-analytikerne. “Med hackere kan det være svært at se forskel på et meningsfuldt spor og et falsk flag – og man kan aldrig være sikker på, hvor omfattende bedraget er.”

Kilde: CSOonline

Cybersikkerhed & Nyheder