Una nueva familia de ransomware surgida el mes pasado incorpora una serie de técnicas y trucos para eludir su detección por parte de antivirus y EDR.
En una reciente publicación de Sophos, la empresa realiza un análisis de la familia de ransomware LockFile, que ha sido utilizado en la post-explotación de vulnerabilidades como ProxyShell o PetitPotam. Esta variante incorpora una serie de medidas que dificultan su detección durante su fase de cifrado, así como el análisis o ingeniería inversa del mismo.
El cifrado parcial es usado habitualmente para acelerar el proceso de cifrado, permitiendo a los operadores el malware lograr un mayor número de ficheros secuestrados, aunque no afecte a la totalidad de cada uno. Está implementado por varias familias, como BlackMatter, DarkSide y LockBit 2.0. Lo que diferencia a LockFile de éstos es que, en lugar de cifrar el inicio del fichero, cifra en bloques alternos de 16 bytes. Por un lado duplica la velocidad de proceso, y por otra confunde a algunas soluciones de protección ya que original y copia son estadísticamente similares.
LockFile accede a los ficheros mediante mapeo de memoria (Memory-mapped I/O), en lugar de las funciones habituales de apertura, lectura/escritura y cierre. Esta técnica permite al ransomware cifrar los documentos en memoria, siendo el sistema operativo el encargado de persistir los cambios a disco. Este desacople entre el proceso que cifra y el que escribe dificulta, en ocasiones, las tareas de detección de actividad sospechosa.
Además, una vez finalizado el cifrado de archivos, LockFile se elimina a sí mismo, complicando el análisis del binario por parte de equipos de respuesta a incidentes. Como ocurre con otras familiar de ransomware operados por humanos, no requieren el contacto con un servidor de control (C2) para operar, pudiendo realizar su trabajo en equipos sin conexión a internet.
Fuente: https://unaaldia.hispasec.com/2021/08/lockfile-ransomware-con-tecnicas-de-evasion-de-deteccion.html