Una nueva familia de ransomware denominada Luna se puede usar para cifrar dispositivos que ejecutan varios sistemas operativos, incluidos los sistemas Windows, Linux y ESXi.
Descubierto por los investigadores de seguridad de Kaspersky a través de un anuncio en un foro de ransomware de la web oscura detectado por el sistema de monitoreo activo Darknet Threat Intelligence de la compañía, el ransomware Luna parece estar diseñado específicamente para ser utilizado solo por actores de amenazas de habla rusa.
“El anuncio indica que Luna solo trabaja con afiliados de habla rusa. Además, la nota de rescate codificada dentro del binario contiene errores de ortografía. Por ejemplo, dice ‘un pequeño equipo’ en lugar de ‘un pequeño equipo'”, dijo Kaspersky .
“Debido a esto, asumimos con confianza media que los actores detrás de Luna hablan ruso”.
Luna (ruso para luna) es un ransomware muy simple aún en desarrollo y con capacidades limitadas basadas en las opciones de línea de comandos disponibles.
Sin embargo, utiliza un esquema de cifrado no tan común, que combina el intercambio de claves Diffie-Hellman de curva elíptica X25519 rápido y seguro utilizando Curve25519 con el algoritmo de cifrado simétrico del Estándar de cifrado avanzado (AES).
Ransomware multiplataforma basado en Rust
El grupo detrás de este nuevo ransomware desarrolló esta nueva variedad en Rust y aprovechó su naturaleza independiente de la plataforma para trasladarlo a múltiples plataformas con muy pocos cambios en el código fuente.
El uso de un lenguaje multiplataforma también permite que Luna ransomware evada los intentos de análisis de código estático automatizado.
“Tanto las muestras de Linux como las de ESXi se compilan usando el mismo código fuente con algunos cambios menores con respecto a la versión de Windows. El resto del código no tiene cambios significativos con respecto a la versión de Windows”, agregaron los investigadores.
Luna confirma aún más la última tendencia adoptada por las bandas de ciberdelincuentes que desarrollan ransomware multiplataforma que usa lenguajes como Rust y Golang para crear malware capaz de atacar múltiples sistemas operativos con pocos o ningún cambio.
Kaspersky dice que hay muy pocos datos sobre qué víctimas han sido encriptadas usando el ransomware Luna, si es que hay alguno, dado que el grupo acaba de ser descubierto y su actividad aún está siendo monitoreada.
Otras nuevas familias de ransomware que BleepingComputer informó este mes incluyen Lilith , un ransomware basado en consolas C/C++ dirigido a dispositivos Windows de 64 bits, y 0mega , una nueva operación de ransomware dirigida a empresas desde mayo y que exige millones de dólares en rescates.
Ambos son conocidos por robar datos de las redes de las víctimas antes de cifrar sus sistemas para respaldar sus ataques de doble extorsión.
fuente:bleepingcomputer .com