Ransomware tenta excluir arquivos e tornar o sistema inutilizável.

O LokiLocker, uma forma relativamente nova de ransomware, usa o esquema padrão de extorsão por meio de criptografia, mas também incorpora a funcionalidade de limpeza de disco.

A dupla extorsão se tornou um sucesso no ano passado, quando gangues de ransomware começaram a roubar arquivos antes de criptografá-los para ameaçar as vítimas com um vazamento de dados confidenciais se não pagassem.

O BlackBerry Threat Intelligence agora está avisando que o LokiLock, visto pela primeira vez em agosto de 2021, agora apresenta uma “funcionalidade de limpeza opcional” para pressionar as vítimas de uma maneira um pouco diferente.

Em vez de os invasores usarem a ameaça de vazar os arquivos de uma vítima para pressioná-los a pagar, os clientes do LokiLock ameaçam substituir o Registro Mestre de Inicialização do Windows (MBR) da vítima, que limpa todos os arquivos e inutiliza a máquina. Mas essa tática efetivamente encerra todas as negociações sobre pagamento, é claro.

A funcionalidade do limpador de disco entrou em foco recentemente por causa de ataques de malware destrutivos em organizações ucranianas. O governo dos EUA teme que malware destrutivo possa atingir organizações no Ocidente em retribuição às sanções contra a Rússia.

Historicamente, o malware limpador de disco tem sido frequentemente favorecido por hackers patrocinados pelo estado, como foi o caso de NotPetya, WhisperGate e HermeticWiper – todos conectados direta ou vagamente a atores patrocinados pelo estado russo – onde o ransomware é um chamariz para a verdadeira intenção destrutiva.

Mas ransomware comercialmente motivado que destrói o computador da vítima? Certamente parece ser um estilo diferente de negociação de resgate do ransomware vinculado a atores russos.

“Com um único golpe, todos perdem”, observa BlackBerry.

No entanto, a Microsoft tem rastreado grupos de hackers iranianos emergentes – presumivelmente apoiados pelo Estado ou afiliados – que estão empregando criptografia e malware destrutivo.

O BlackBerry aponta algumas evidências que sugerem que o LokiLocker foi desenvolvido por hackers iranianos e projetado para atingir vítimas de língua inglesa.

A evidência: há muito poucos erros de ortografia em inglês nas strings de depuração do malware; Os afiliados do LokiLocker estão conversando em fóruns de hackers iranianos; e o Irã é o único local atualmente na lista negra para ativar a criptografia. Além disso, algumas ferramentas de quebra de credenciais distribuídas nas primeiras amostras do LokiLocker “parecem ter sido desenvolvidas por uma equipe de cracking iraniana chamada AccountCrack”.

“Embora não tenhamos conseguido avaliar com segurança exatamente de onde o LokiLocker RaaS se origina, vale a pena mencionar que todas as strings de depuração incorporadas estão em inglês e – ao contrário da maioria dos malwares originários da Rússia e da China – o idioma é amplamente livre de erros e erros de ortografia”, observa BlackBerry. “Não está totalmente claro se isso significa que eles realmente são originários do Irã ou que os verdadeiros atores da ameaça estão tentando culpar os atacantes iranianos”, afirmou.

É comum que as gangues de ransomware baseadas na Rússia não ativem malware em máquinas nas nações da Commonwealth of Independent States – geralmente configuradas por códigos de idioma específicos na lista negra nas configurações de idioma de uma máquina.