LokiLocker Ransomware agora possui módulo Wiper

O ransomware LokiLocker é uma chegada relativamente nova no cenário do ransomware. Identificado pela primeira vez por pesquisadores de segurança no verão de 2021, o kit de ferramentas malicioso foi atualizado recentemente para incluir um módulo de limpeza de disco.

O ransomware LokiLocker ganhou as manchetes depois de ser examinado novamente por uma equipe da BlackBerry Threat Intelligence. A análise apontou que a ferramenta perigosa agora adicionou a funcionalidade de limpeza de disco que permite destruir irreversivelmente os dados em sistemas comprometidos. O ransomware não está diretamente relacionado ao ransomware Locky mais antigo.

Extorsão dupla e limpadores

Gangues de ransomware usam métodos de extorsão duplas e até triplas há quase dois anos. A tendência começou em algum momento no final de 2020, com equipamentos de ransomware extraindo o máximo possível de informações confidenciais dos sistemas do alvo, ameaçando vazar as informações se o resgate não for pago. Essa tática simplesmente adiciona outro incentivo para pagar o resgate, pois os dados exfiltrados podem ser de natureza particularmente sensível.

No entanto, quando você pensa em tentar manter os dados como reféns e pressionar a vítima a pagar o resgate, a destruição completa dos dados não é algo que parece uma boa ferramenta nas mãos dos criminosos. Por que, então, os agentes de ransomware estão adicionando módulos de limpeza às suas ferramentas?

A resposta ainda é indescritível, mesmo para pesquisadores, ao que parece. A BlackBerry detectou uma conexão entre o ransomware LokiLocker e uma equipe iraniana de agentes de ameaças conhecidos como AccountCrack, mas a conexão ainda é provisória e não há informações concretas sobre as origens do ransomware.

Menos ataques totais, ainda uma ameaça significativa

O ransomware vem caindo constantemente no número total de ataques anualmente, com menos ataques no primeiro trimestre de 2022 em comparação com 2021. Embora essa tendência possa parecer uma pequena vitória, ela tem mais a ver com a maneira como os agentes de ameaças de ransomware começaram a operar.

Em vez de lançar o maior número possível de ataques, os maus atores agora tentam se concentrar em alvos grandes e de alto valor que podem oferecer pagamentos muito maiores. Este parece ser o principal fator que reduziu o número total de ataques, e não uma mudança repentina de opinião por parte dos criminosos.