En colaboración con la Agencia Nacional contra el Crimen (NCA) del Reino Unido, Trend Micro analizó la versión en desarrollo y la inédita del cifrador LockBit, dejando toda la línea de productos inutilizable para los ciberdelincuentes en el futuro.
Como grupo criminal, LockBit era conocido por innovar y probar cosas nuevas. En el marco de este desarrollo innovador, LockBit ha lanzado varias versiones de su ransomware, desde la versión v1 (enero de 2020) hasta LockBit 2.0 (apodado “Red”, a partir de junio de 2021) y LockBit 3.0 (“Black”, a partir de marzo de 2022). En octubre de 2021, el actor de amenazas presentó Linux. Finalmente, en enero de 2023 apareció una versión provisional “Verde”, que contenía un código aparentemente tomado del extinto ransomware Conti. Sin embargo, esta versión no era una nueva versión 4.0.
Desafíos recientes y declive
Recientemente, el grupo ha estado luchando con problemas tanto internos como externos que han amenazado su posición y reputación como uno de los principales proveedores de RaaS. Estos incluyen publicaciones falsas de las víctimas e infraestructura inestable en las operaciones de ransomware. La falta de archivos de descarga en supuestas publicaciones y las nuevas reglas para los socios también han tensado aún más las relaciones del grupo. Los intentos de reclutar socios de grupos competidores y el lanzamiento de una nueva versión de LockBit, que se había retrasado mucho, también indican la pérdida de atractivo del grupo.
LockBit 4.0 interceptado
Recientemente pudimos analizar una muestra de lo que creemos que es una versión en desarrollo de un malware independiente de la plataforma de LockBit que difiere de las versiones anteriores. El ejemplo agrega el sufijo "locked_for_LockBit" a los archivos cifrados, que forma parte de la configuración y, por lo tanto, aún se puede cambiar. Debido al estado actual de desarrollo, llamamos a esta variante LockBit-NG-Dev, que creemos que podría formar la base para LockBit 4.0, en el que el grupo ciertamente está trabajando.
Los cambios fundamentales incluyen los siguientes:
- LockBit-NG-Dev está escrito en .NET y compilado con CoreRT. Cuando el código se utiliza junto con el entorno .NET, es independiente de la plataforma.
- La base del código es completamente nueva debido al cambio a este lenguaje, lo que significa que probablemente será necesario crear nuevos patrones de seguridad para detectarlo.
- Aunque tiene menos funciones en comparación con la v2 (roja) y la v3 (negra), es probable que se agreguen a medida que continúe el desarrollo. Tal como está, sigue siendo un ransomware potente y funcional.
- Se eliminó la capacidad de autodistribuir e imprimir notas de rescate a través de las impresoras del usuario.
- La ejecución ahora tiene un período de validez al verificar la fecha actual, lo que probablemente ayudará a los operadores a mantener el control sobre el uso de los afiliados y dificultará la tarea de los sistemas de análisis automatizados de las empresas de seguridad.
- Similar a la v3 (negra), esta versión todavía tiene una configuración que incluye indicadores para rutinas, una lista de procesos y nombres de servicios que se deben eliminar, y archivos y directorios que se deben evitar.
- Además, los nombres de los archivos cifrados aún se pueden cambiar a un nombre aleatorio.
Trend Micro también proporciona un análisis técnico detallado de LockBit-NG-Dev en línea en su artículo de blog en inglés.
Más en TrendMicro.com
Acerca de Trend Micro Como uno de los principales proveedores de seguridad de TI del mundo, Trend Micro ayuda a crear un mundo seguro para el intercambio de datos digitales. Con más de 30 años de experiencia en seguridad, investigación de amenazas globales e innovación constante, Trend Micro ofrece protección para empresas, agencias gubernamentales y consumidores. Gracias a nuestra estrategia de seguridad XGen™, nuestras soluciones se benefician de una combinación intergeneracional de técnicas de defensa optimizadas para entornos de vanguardia. La información de amenazas en red permite una protección mejor y más rápida. Optimizadas para cargas de trabajo en la nube, terminales, correo electrónico, IIoT y redes, nuestras soluciones conectadas brindan visibilidad centralizada en toda la empresa para una detección y respuesta más rápidas a las amenazas.