LockFile: Ransomware con técnicas de evasión de detección.

Una nueva familia de ransomware surgida el mes pasado incorpora una serie de técnicas y trucos para eludir su detección por parte de antivirus y EDR.

En una reciente publicación de Sophos, la empresa realiza un análisis de la familia de ransomware LockFile, que ha sido utilizado en la post-explotación de vulnerabilidades como ProxyShell o PetitPotam. Esta variante incorpora una serie de medidas que dificultan su detección durante su fase de cifrado, así como el análisis o ingeniería inversa del mismo.

El cifrado parcial es usado habitualmente para acelerar el proceso de cifrado, permitiendo a los operadores el malware lograr un mayor número de ficheros secuestrados, aunque no afecte a la totalidad de cada uno. Está implementado por varias familias, como BlackMatter, DarkSide y LockBit 2.0. Lo que diferencia a LockFile de éstos es que, en lugar de cifrar el inicio del fichero, cifra en bloques alternos de 16 bytes. Por un lado duplica la velocidad de proceso, y por otra confunde a algunas soluciones de protección ya que original y copia son estadísticamente similares.

LockFile accede a los ficheros mediante mapeo de memoria (Memory-mapped I/O), en lugar de las funciones habituales de apertura, lectura/escritura y cierre. Esta técnica permite al ransomware cifrar los documentos en memoria, siendo el sistema operativo el encargado de persistir los cambios a disco. Este desacople entre el proceso que cifra y el que escribe dificulta, en ocasiones, las tareas de detección de actividad sospechosa.

Además, una vez finalizado el cifrado de archivos, LockFile se elimina a sí mismo, complicando el análisis del binario por parte de equipos de respuesta a incidentes. Como ocurre con otras familiar de ransomware operados por humanos, no requieren el contacto con un servidor de control (C2) para operar, pudiendo realizar su trabajo en equipos sin conexión a internet.

Referencias
https://thehackernews.com/2021/08/lockfile-ransomware-bypasses-protection.html
https://news.sophos.com/en-us/2021/08/27/lockfile-ransomwares-box-of-tricks-intermittent-encryption-and-evasion/

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional	11 months	La cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy	11 months	La cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.

LockFile: Ransomware con técnicas de evasión de detección.

Publicaciones relacionadas

Una al Día

Aviso Legal

Compártelo:

Publicaciones relacionadas

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Footer

Una al Día

Aviso Legal