El ransomware aparece en los titulares a diario. Nuevas muestras introducen nuevas técnicas, más sofisticación y técnicas antidetección para ocultar su detección al radar de la ciberseguridad.
Uno de los ejemplos más recientes es el ransomware Luna, documentado brevemente por Kaspersky . El ransomware fue descubierto en junio de en foros clandestinos y parece que está siendo desarrollado por actores rusos. «El anuncio afirma que Luna sólo trabaja con afiliados de habla rusa. Además, la nota de rescate codificada dentro del binario contiene errores de ortografía», dice el equipo de investigación de Kaspersky.
El ransomware tiene una interfaz de línea de comandos con funciones simples implementadas, como se observa a continuación.
1: Interfaz de línea de comando Luna (la palabra rusa para luna).
Luna está desarrollado en el lenguaje Rust, al igual que otras familias de ransomware notables: Hive y BlackCat . Utilizando el lenguaje Rust , los delincuentes obtuvieron un conjunto de ventajas desde el punto de vista de la detección. Como se anunció en el sitio web de Rust, proporciona:
- Un lenguaje que permite a todos crear software confiable y eficiente
- Alto rendimiento porque Rust es rápido y eficiente en memoria
- Proporciona excelente documentación, un compilador amigable con mensajes de error útiles y herramientas de primer nivel.
- es multiplataforma
Una motivación clara desde el punto de vista de los delincuentes es la característica multiplataforma, ya que permite el desarrollo de una pieza de ransomware que se puede utilizar en diferentes sistemas operativos, como Windows, Linux y ESXi. Rust también ahorra memoria y el código del ransomware no permanece estático, lo que dificulta su detección, otra ventaja de Rust dentro del panorama del malware.
Proceso de cifrado
Luna ransomware utiliza una combinación de cifrado poco común, aprovechando el rápido y seguro intercambio de claves Diffie-Hellman de curva elíptica X25519 utilizando Curve25519 con el algoritmo de cifrado simétrico Advanced Encryption Standard (AES), como lo menciona Kaspersky.
La extensión .luna se agrega a todos los archivos cifrados durante el proceso de cifrado, pero las capacidades del ransomware aún están en desarrollo.
2: Muestra de Luna y archivos dañados con la extensión .luna adjunta al nombre del archivo.
Un detalle interesante observado durante este análisis es que el código fuente de Luna parece estar adaptado al idioma ruso, lo que probablemente indica que los objetivos del grupo no son parte de la antigua URSS (Unión de Repúblicas Socialistas Soviéticas). En este contexto y para corroborar la idea anterior, la nota del ransomware está escrita en inglés americano, con algunos errores gramaticales que probablemente indiquen una traducción automática de otro idioma.
3: Nota sobre el ransomware Luna.
Con respecto a los ejemplos de Linux y ESXi, se utiliza el mismo código fuente para compilar ambas versiones, con cambios menores realizados durante el proceso de compilación.
¡Conviértete en un ingeniero inverso certificado!
Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender
Entendiendo el ransomware Luna
El uso de lenguajes exóticos como Rust demuestra una tendencia significativa en el panorama del ransomware. Luna es el ejemplo perfecto, ya que los grupos de delincuentes desarrollan familias de ransomware multiplataforma para causar el mayor daño durante el proceso de cifrado y apuntar a diferentes sistemas operativos. Rust y Goland son los lenguajes de programación más populares de los delincuentes para desarrollar nuevas amenazas.
En este sentido, se debe implementar un monitoreo para reducir el daño potencial de un incidente de ransomware, así como para poner la amenaza en el radar de ciberseguridad y permitir así una contención rápida y eficiente de la amenaza.
Fuentes:
- Luna ransomware , Kaspersky