Una familia emergente de ransomware como servicio (RaaS) denominada LokiLocker está comenzando a atraer la atención de los investigadores de amenazas, quienes advierten a los profesionales de la seguridad que estén atentos al ransomware que, al igual que su homónimo dios tramposo nórdico, tiene algunos ” trucos sutiles” bajo la manga diseñados para desviar y distraer a los defensores.
Visto por primera vez en la naturaleza en agosto de 2021, LokiLocker, que no debe confundirse con el ladrón de información LokiBot, apunta principalmente a víctimas de habla inglesa y PC con Windows ubicadas en Europa del Este y Asia, según los investigadores de amenazas de BlackBerry que han estado siguiendo a sus operadores. Actualmente cuenta con unas 30 filiales cuidadosamente seleccionadas.
El equipo de BlackBerry rastreó LokiLocker hasta su fase de prueba beta, señalando que se distribuyó por primera vez dentro de herramientas de piratería de verificación bruta troyanizadas, herramientas utilizadas por actores malintencionados para automatizar ataques de relleno de credenciales, en este caso contra empresas como PayPal y Spotify.
En cuanto a esto, también incluye la funcionalidad de limpieza: si la víctima no paga en un tiempo específico, sus archivos que no son del sistema se eliminan y el registro de arranque maestro (MBR) se sobrescribe, dejando el sistema totalmente inutilizable.
“El ransomware LokiLocker es experto en causar caos en los puntos finales del usuario y, al igual que su dios nórdico homónimo, puede resultar vengativo y destructivo si no se apacigua con una oferta financiera”, dijo el equipo de BlackBerry en un aviso de divulgación.
LokiLocker es algo inusual por un par de razones. En primer lugar, el ransomware en sí está escrito en .NET y protegido con NETGuard usando un complemento de virtualización llamado KoiVM, un protector comercial legítimo para aplicaciones .NET, pero que ha demostrado ser popular entre las herramientas de piratería y las grietas desde que su código se hizo público en 2018.
Esto, dijo el equipo, es algo nuevo. “El uso de KoiVM por parte de LokiLocker como protector de virtualización para aplicaciones .NET es un método inusual de complicar el análisis”, dijeron. “Todavía no hemos visto muchos otros actores de amenazas usándolo, por lo que este puede ser el comienzo de una nueva tendencia”.
En segundo lugar, BlackBerry descubrió que algunos de los primeros afiliados de LokiLocker usan identificadores que se encuentran exclusivamente en los canales de piratería iraníes, y se han utilizado herramientas de craqueo iraníes para distribuir las muestras iniciales, lo que parece ser una pista clara de su procedencia.
Junto con esto, los investigadores encontraron que el malware en sí mismo define una serie de cadenas que se podría suponer que normalmente contendrían una lista de países “amigos” para excluir del cifrado; la mayoría de los ransomwares hacen esto y excluyen a Rusia y otros estados ex soviéticos, pero LokiLocker excluye solo un país, Irán.
El equipo de BlackBerry luego descubrió que quien escribió LokiLocker en realidad no había implementado esta funcionalidad, lo que potencialmente arroja dudas sobre la conexión iraní. Sugirieron que podría ser una artimaña para desviar la atención de sus verdaderos orígenes, donde sea que estén.
“Estos detalles enturbian aún más las aguas”, dijo el equipo. “Con los embaucadores y los actores de amenazas, puede ser difícil diferenciar entre una pista significativa y una bandera falsa, y nunca se puede estar seguro de hasta dónde llega el engaño”.