A través de un anuncio en un foro de ransomware de la dark web, el sistema de vigilancia activa Darknet Threat Intelligence de Kaspersky Security Network (KSN) detecto una nueva familia de ransomware denominada Luna capaz de cifrar dispositivos que ejecutan sistemas operativos, tales como Windows, Linux y ESXi.
El malware está escrito en Rust, agrega una extensión «.luna» a todos los archivos cifrados y es un ransomware muy simple que aún está en desarrollo, sin embrago utiliza un esquema de cifrado no tan común, que combina el intercambio de claves Diffie-Hellman de curva elíptica X25519 rápido y seguro, utilizando Curve25519 con el algoritmo de cifrado simétrico del Estándar de cifrado avanzado (AES). El anuncio afirma que Luna sólo trabaja con afiliados de habla rusa.
Argumentos de la línea de comando del ransomware Luna (Kaspersky)
Tanto las muestras para Linux como para ESXi se compilan utilizando el mismo código fuente, con algunos cambios menores con respecto a la versión de Windows. Por ejemplo, si las muestras de Linux se lanzan sin argumentos en la línea de comandos, no se ejecutarán y mostrarán los argumentos que deben proporcionarse. El resto del código no tiene diferencias notorias con la versión para Windows.
Luna confirma que la última tendencia adoptada por las bandas de ciberdelincuentes que desarrollan ransomware multiplataforma es usar lenguajes como Rust y Golang, para crear malware capaz de atacar múltiples sistemas operativos con pocos o ningún cambio.
Kaspersky dice que hay muy pocos datos sobre qué víctimas han sido encriptados usando el ransomware Luna, dado que el grupo acaba de ser descubierto y su actividad aún está siendo monitoreada.
Para mayor información: