Desenvolvedores do ransomware LockBit estavam construindo secretamente um criptografador novo

22/02/2024 15:42

Leitura: 3 Minutos

Os desenvolvedores do ransomware LockBit estavam construindo secretamente uma nova versão de seu malware de criptografia de arquivos. A nova versão havia sido apelidada de LockBit-NG-Dev e, provavelmente, se tornaria LockBit 4.0, quando a aplicação da lei derrubou a infraestrutura do cibercriminoso no início desta semana.

Ransomware LockBit e o novo criptografador

Como resultado da colaboração com a Agência Nacional do Crime do Reino Unido, a empresa de segurança cibernética Trend Micro analisou uma amostra do mais recente desenvolvimento do LockBit que pode funcionar em vários sistemas operacionais. Embora o malware LockBit anterior seja construído em C/C++, o exemplo mais recente é um trabalho em andamento escrito em .NET que parece ter sido compilado com CoreRT e empacotado com MPRESS.

A Trend Micro afirma (Via: Bleeping Computer) que o malware inclui um arquivo de configuração no formato JSON que descreve os parâmetros de execução, como intervalo de datas de execução, detalhes da nota de resgate, IDs exclusivos, chave pública RSA e outros sinalizadores operacionais.

desenvolvedores-do-ransomware-lockbit-estavam-construindo-secretamente-um-criptografador-novo — Imagem: Bleeping Computer

Embora a empresa de segurança diga que o novo criptografador não possui alguns recursos presentes em iterações anteriores (por exemplo, capacidade de autopropagação em redes violadas, impressão de notas de resgate nas impressoras das vítimas), ele parece estar em seus estágios finais de desenvolvimento, já oferecendo a maior parte dos recursos e funcionalidades esperados.

A nova versão

Essa nova versão do LockBit suporta três modos de criptografia (usando AES + RSA), ou seja, “rápido”, “intermitente” e “completo”, tem arquivo personalizado ou exclusão de diretório e pode randomizar a nomenclatura do arquivo para complicar os esforços de restauração. As opções adicionais incluem um mecanismo de autoexclusão que substitui o conteúdo do arquivo do próprio LockBit por bytes nulos.

De acordo com a Trend Micro, em uma publicação realizada pela empresa, onde ela analisa o malware profundamente, revela os parâmetros completos de configuração do LockBit-NG-Dev. A descoberta do novo criptografador LockBit é outro golpe dado pela aplicação da lei aos operadores LockBit através da Operação Cronos.

Mesmo que os servidores de backup ainda sejam controlados pela gangue, restaurar o negócio cibercriminoso deve ser um desafio difícil quando o código-fonte do malware criptografado é conhecido pelos pesquisadores de segurança.

Com o desmantelamento da gangue, esperamos que essa nova versão nunca seja usada. No entanto, infelizmente, isso não podemos prever. As gangues estão cada vez mais ardilosas e desenvolvendo malwares cada vez mais fortes para os seus ataques.

Assuntos

Mais Notícias

Mais artigos

Malware Telegram

Telegram: falha no aplicativo é explorada para espalhar malware oculto em vídeos

Uma falha de segurança no aplicativo móvel do Telegram para Android, chamado EvilVideo, possibilitou que invasores espalhassem malware em vídeos aparentemente inofensivos. Atualização: Abaixo, declaração da Assessoria do Telegram: Esse exploit não é uma vulnerabilidade no Telegram. Seria necessário que os usuários abrissem o vídeo, ajustassem as configurações de segurança do Android e instalassem manualmente […]

Relatório aponta que o Brasil ocupa a sétima colocação entre os países que mais recebem ataques de ransomwares

A ISH Tecnologia emitiu um relatório que compila dados extensivos sobre incidentes de ataques de ransomwares que impactaram setores críticos no primeiro semestre de 2024 pelo mundo. Segundo esse relatório, o Brasil ocupa a sétima colocação entre os países que mais recebem ataques de ransomwares. Ataques de ransomwares As vulnerabilidades desse ano incluem falhas severas […]

Imagem com homem de costas, simbolizando crime cibernético

Segundo a Microsoft, a gangue Octo Tempest adicionou os ransomwares RansomHub e Qilin ao seu arsenal

A Microsoft revelou que no segundo trimestre desse ano, a gangue de crimes cibernéticos Octo Tempest adicionou os ransomwares RansomHub e Qilin ao seu arsenal de ataques. Octo Tempest adiciona os ransomwares RansomHub e Qilin ao seu arsenal De acordo com a Microsoft, no segundo trimestre de 2024, o agente de ameaças com motivação financeira […]

Imagem com logomarca do facebook em feixes de luz

Anúncios do Facebook estão espalhando malware que rouba informações

Cibercriminosos estão usando páginas comerciais e anúncios do Facebook para promover temas falsos do Windows que infectam usuários desavisados com o malware SYS01. Esse malware é um ladrão de informações e rouba senhas dos usuários da rede social. Anúncios do Facebook espalhando malware Pesquisadores da Trustwave que observaram as campanhas (Via: Bleeping Computer) disseram que […]

Ransomware SEXi muda de nome para APT INC e continua mirando em servidores VMware ESXi

A operação de ransomware SEXi é conhecida por ter como alvo servidores VMware ESXi. Bom, o malware continua mirando nesses servidores, mas agora com outro nome, o APT INC. Inclusive, esse malware teve como alvo diversas organizações em ataques recentes. Ransomware SEXi Os cibercriminosos começaram a atacar organizações em fevereiro de 2024 usando o criptografador […]

malware-gootloader-ativo-e-implantando-novas-versoes

Malware GootLoader ativo e implantando novas versões

O malware conhecido como GootLoader continua em uso ativo por agentes de ameaças que buscam entregar cargas adicionais a hosts comprometidos. Novas versões do malware continuam sendo implantadas pelos cibercriminosos. Malware GootLoader ativo “Atualizações na carga útil do GootLoader resultaram em várias versões do GootLoader, com o GootLoader 3 atualmente em uso ativo”, disse a […]