Los investigadores de seguridad de Kaspersky han revelado detalles de una nueva familia de ransomware escrita en Rust, lo que la convierte en la tercera variedad después de BlackCat y Hive en usar el lenguaje de programación.
Luna, como se le llama, es «bastante simple» y puede ejecutarse en sistemas Windows, Linux y ESXi, con el malware apostando por una combinación de Curva25519 y AES para el cifrado.
«Tanto las muestras de Linux como las de ESXi se compilan usando el mismo código fuente con algunos cambios menores con respecto a la versión de Windows», dijo la firma rusa. señalado en un informe publicado hoy.
Los anuncios de Luna en los foros de la red oscura sugieren que el ransomware está destinado a ser utilizado solo por afiliados de habla rusa. También se cree que sus desarrolladores principales son de origen ruso debido a errores ortográficos en la nota de rescate codificada dentro del binario.
«Luna confirma la tendencia del ransomware multiplataforma», afirmaron los investigadores, y agregaron cómo la naturaleza agnóstica de la plataforma de lenguajes como Golang y Rust les brinda a los operadores la capacidad de apuntar y atacar a escala y evadir el análisis estático.
Dicho esto, hay muy poca información sobre los patrones de victimología dado que Luna es un grupo criminal recién descubierto y su actividad aún está siendo monitoreada activamente.
Luna está lejos de ser el único ransomware que puso sus ojos en los sistemas ESXi, ya que otra familia de ransomware naciente conocida como Black Basta se actualizó el mes pasado para incluir una variante de Linux.
Black Basta también se destaca por iniciar un sistema Windows en modo seguro antes del cifrado para Aprovechar del hecho de que las soluciones de detección de puntos finales de terceros pueden no iniciarse después de iniciar el sistema operativo en modo seguro. Esto permite que el ransomware pase desapercibido y bloquee fácilmente los archivos deseados.
«El ransomware sigue siendo un gran problema para la sociedad actual», dijeron los investigadores. «Tan pronto como algunas familias bajan del escenario, otras toman su lugar».
LockBit, sin embargo, sigue siendo una de las pandillas de ransomware más activas de 2022, y a menudo depende del acceso RDP a las redes empresariales para deshabilitar los servicios de respaldo y crear un Política de grupo para terminar los procesos en ejecución y ejecutar la carga útil del ransomware.
«El éxito de LockBit también se debe a la continua evolución de características y tácticas de sus desarrolladores y afiliados, que incluyen el malware velocidad de encriptación rápidacapacidad para apuntar a máquinas con Windows y Linux, sus impulsos de reclutamiento descarados y objetivos de alto perfil», el equipo Symantec Threat Hunter, parte de Broadcom Software, dijo en un informe