Maze: hacia un «cártel» del ransomware

, Author

¿Hacia un «cártel del ransomware»?

Los hackers que están detrás de Maze parecen ir en esa dirección.

Una reciente publicación en su «sitio de exhibición» es prueba de ello. Incluye datos de una operación con otro grupo cibercriminal.

Ese grupo es conocido como LockBit.
El equipo de Maze confirma la colaboración, centrada en «compartir su experiencia y plataforma». Añade que está llevando a cabo conversaciones con otros colectivos, uno de los cuales se espera que se una al bucle «en unos días».»

LockBit se encuentra entre el ransomware que se vende «como servicio». Sus componentes se alquilan a través de un programa de afiliación lanzado a principios de 2020.

Sophos había publicado un análisis detallado del mismo hace unas semanas.

Discreto, pero no demasiado

La empresa británica observa, en particular, que LockBit está diseñado para no atacar sistemas vinculados a Rusia y a las antiguas repúblicas soviéticas (unidas en la Comunidad de Estados Independientes).
El filtrado se realiza en función del idioma principal del sistema. Con excepciones para azeríes, armenios, bielorrusos, georgianos, kazajos, rusos, tayikos, uzbekos y ucranianos.

El ransomware cuenta con varias optimizaciones diseñadas para mejorar su rendimiento. Entre ellas, la tecnología Intel Instruction Set Extension (SSE) y la API IOCP, que permite realizar varias operaciones de E/S asíncronas.

También cuenta con algunos elementos curiosos. Por ejemplo, bloquear la ejecución siempre que se haga con parámetros añadidos en la línea de comandos. Según Sophos, debería ocurrir lo contrario, lo que refleja una técnica clásica para detectar la ejecución en sandbox.

Si no tiene privilegios de administrador, LockBit los obtiene saltándose el UAC (Control de Cuentas de Usuario de Windows). Para ello, se hace pasar por un proceso de confianza (explorer.exe).
A continuación, enumera las unidades de red encriptadas. Incluyendo las que requieren identificación. Para ello, intenta una conexión con el nombre de usuario y la contraseña de la sesión actual.

Además de los procesos y servicios que intenta cerrar antes de ejecutar, el ransomware tiene una lista de elementos que no deben ser cifrados. Entre ellos hay archivos que podrían impedir el arranque del sistema… y mostrar la nota de rescate.

El mensaje aparece como fondo de pantalla. Pero Sophos detectó un caso en el que LockBit fue más allá. Cifró parte del sector de arranque del disco, impidiendo el arranque mientras no se introduzca una contraseña.

Se han puesto en marcha muchas medidas para no dejar rastro. Pero LockBit no se esconde cuando intenta evitar que el sistema de destino se apague: los mensajes de advertencia están… en su nombre.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *