[21/07/2022] Los investigadores de Kaspersky han descubierto un nuevo grupo de ransomware que subraya la tendencia de los actores de ransomware a recurrir a la funcionalidad multiplataforma. El grupo, apodado Luna, emplea el uso de ransomware escrito en Rust, un lenguaje de programación que ha sido utilizado anteriormente por las bandas BlackCat y Hive, entre otras. Esto les permite portar fácilmente el malware de un sistema operativo a otro. Este descubrimiento, entre otros, forma parte del reciente informe sobre crimeware disponible en Securelist de Kaspersky.
"Luna despliega malware escrito en Rust. Sus capacidades multiplataforma permiten al grupo apuntar a sistemas Windows, Linux y ESXi a la vez. El anuncio en la web oscura, descubierto por nosotros, afirma que Luna solo trabaja con afiliados de habla rusa. Además, la nota de rescate codificada en el binario contiene algunas faltas de ortografía, lo que lleva a la conclusión de que el grupo podría ser de habla rusa. Dado que Luna es un grupo recién descubierto, todavía hay pocos datos sobre su victimología, pero estamos siguiendo activamente la actividad de Luna”, señaló Jornt van der Wiel, experto en seguridad de Kaspersky, en una entrada de blog.
Según el ejecutivo, Luna subraya la reciente tendencia del ransomware multiplataforma, con lenguajes como Golang y Rust que han sido fuertemente implementados por bandas modernas de ransomware en el último año. "Un ejemplo notable es BlackCat y Hive, este último utiliza tanto Go como Rust. Estos lenguajes son independientes de la plataforma, por lo que el ransomware escrito con ellos puede ser fácilmente portado de una plataforma a otra. Así, los ataques pueden dirigirse a varios sistemas operativos al mismo tiempo”.
van der Wiel añadió que otra investigación llevada a cabo recientemente por Kaspersky proporciona una visión más profunda de la actividad del actor de ransomware Black Basta. "Este grupo ejecuta una nueva variante de ransomware escrita en C++ que salió a la luz por primera vez en febrero del 2022. Desde entonces, Black Basta ha conseguido atacar a más de 40 víctimas, principalmente en Estados Unidos, Europa y Asia”.
El ejecutivo sostuvo que, tanto Luna como Black Basta tienen como objetivo los sistemas ESXi, así como Windows y Linux, lo que supone otra tendencia de ransomware del 2022. "ESXi es un hipervisor que puede utilizarse de forma independiente en cualquier sistema operativo. Dado que muchas empresas han migrado a máquinas virtuales basadas en ESXi, es más fácil para los atacantes cifrar los datos de las víctimas”, finalizó van der Wiel.
CIO, Perú