El día 20 de julio del presente año, los investigadores de seguridad de Kaspersky han revelado detalles de una nueva familia de ransomware escrita en Rust, lo que la convierte en la tercera cepa después de BlackCat y Hive en usar este lenguaje de programación. El descubrimiento de esta nueva cepa viene a través de un anuncio de uno de los foros de ransomwares de la DarkNet, el nuevo ransomware Luna parece estar específicamente diseñado para ser utilizado solo por actores de amenazas de habla rusa.
«El anuncio afirma que Luna solo trabaja con afiliados de habla rusa. Además, la nota de rescate codificada dentro del binario contiene errores ortográficos.», dijo Kaspersky.
Luna agrega la extensión «.luna» a todos los archivos cifrados y es un ransomware muy simple, que aún se encuentra en fase de desarrollo, con capacidades limitadas basadas en las opciones de línea de comandos disponibles.
Sin embargo, utiliza un esquema de cifrado no tan común, que combina el intercambio de claves Diffie-Hellman de curva elíptica X25519, que de hecho, rápido y seguro utilizando Curve25519 con el algoritmo de cifrado simétrico Advanced Encryption Standard (AES).
Imagen: Kaspersky
El grupo detrás de este nuevo ransomware desarrolló esta nueva cepa en Rust y aprovechó su naturaleza independiente de la plataforma para portarlo a múltiples sistemas operativos con muy pocos cambios en su código fuente.
El uso de un lenguaje multiplataforma también permite a Luna ransomware evadir los intentos automatizados de análisis del código estático.
«Tanto las muestras de Linux como las de ESXi se compilan utilizando el mismo código fuente con algunos cambios menores de la versión de Windows. El resto del código no tiene cambios significativos con respecto a la versión de Windows«, agregaron los investigadores.
Según los miembros detrás de Luna, confirman además la utilización de las últimas tendencias adoptadas por las bandas de cibercrimen que desarrollan ransomware multiplataforma que utilizan lenguajes como Rust y Golang para crear malware capaz de apuntar a múltiples sistemas operativos con pocos o ningún cambio. Lo que los vuelve muy peligrosos, debido a que su alcance a potenciales victimas ya no se reduce a un Windows Servers tradicional, sino que, estarían ya apuntando a otros sistemas operativos muy comúnmente usados en los servidores de todo el mundo, siendo Linux el más popular.
La empresa prestadora de tecnología de ciberseguridad, Kaspersky, dice que existen muy pocos datos sobre qué víctimas han sido comprometidas usando el ransomware Luna, si es que hay alguno, dado que el grupo acaba de ser descubierto y su actividad aún está siendo monitoreada.
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
