Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / LockFile: Ransomware con técnicas de evasión de detección.

LockFile: Ransomware con técnicas de evasión de detección.

Por Dejar un comentario

Una nueva familia de ransomware surgida el mes pasado incorpora una serie de técnicas y trucos para eludir su detección por parte de antivirus y EDR.

En una reciente publicación de Sophos, la empresa realiza un análisis de la familia de ransomware LockFile, que ha sido utilizado en la post-explotación de vulnerabilidades como ProxyShell o PetitPotam. Esta variante incorpora una serie de medidas que dificultan su detección durante su fase de cifrado, así como el análisis o ingeniería inversa del mismo.

El cifrado parcial es usado habitualmente para acelerar el proceso de cifrado, permitiendo a los operadores el malware lograr un mayor número de ficheros secuestrados, aunque no afecte a la totalidad de cada uno. Está implementado por varias familias, como BlackMatter, DarkSide y LockBit 2.0. Lo que diferencia a LockFile de éstos es que, en lugar de cifrar el inicio del fichero, cifra en bloques alternos de 16 bytes. Por un lado duplica la velocidad de proceso, y por otra confunde a algunas soluciones de protección ya que original y copia son estadísticamente similares.

LockFile accede a los ficheros mediante mapeo de memoria (Memory-mapped I/O), en lugar de las funciones habituales de apertura, lectura/escritura y cierre. Esta técnica permite al ransomware cifrar los documentos en memoria, siendo el sistema operativo el encargado de persistir los cambios a disco. Este desacople entre el proceso que cifra y el que escribe dificulta, en ocasiones, las tareas de detección de actividad sospechosa.

Además, una vez finalizado el cifrado de archivos, LockFile se elimina a sí mismo, complicando el análisis del binario por parte de equipos de respuesta a incidentes. Como ocurre con otras familiar de ransomware operados por humanos, no requieren el contacto con un servidor de control (C2) para operar, pudiendo realizar su trabajo en equipos sin conexión a internet.

Referencias
https://thehackernews.com/2021/08/lockfile-ransomware-bypasses-protection.html
https://news.sophos.com/en-us/2021/08/27/lockfile-ransomwares-box-of-tricks-intermittent-encryption-and-evasion/

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.