Investigación analiza el modelo de exfiltración de datos de LockBit

LockBit opera como un RaaS y ayuda a sus socios proporcionando el servicio de exfiltración de datos StealBit. Yoroi Malware ZLAB examinó Stealbit 2.0, la herramienta personalizada desarrollada recientemente por el grupo especializada en la exfiltración de datos. Los investigadores revelaron que los autores de malware han tomado medidas serias para proteger el código de […]

LockBit opera como un RaaS y ayuda a sus socios proporcionando el servicio de exfiltración de datos StealBit. Yoroi Malware ZLAB examinó Stealbit 2.0, la herramienta personalizada desarrollada recientemente por el grupo especializada en la exfiltración de datos.

Los investigadores revelaron que los autores de malware han tomado medidas serias para proteger el código de StealBit 2.0 y las operaciones en general.

Al examinar el malware, observaron la falta de metadatos en los campos de PE. Sin embargo, los investigadores pueden encontrar campos como la marca de tiempo del compilador, el bit, el punto de entrada y un encabezado de DOS. La mayoría de los otros campos aún faltan.

Además, la sección Imphash, que es la tabla de importación de la muestra de malware, se encontró vacía (sin ninguna API en la lista). Sin cargar las bibliotecas necesarias en la tabla, era imposible llevar a cabo la operación maliciosa.

Profundizando, los expertos notaron que los piratas informáticos han implementado una técnica de anti-análisis de bajo nivel que busca ciertos valores en Process Environment Block, que es una estructura de datos en los sistemas Windows NT.

Los atacantes también han utilizado ampliamente la ofuscación de cadenas de pila para ocultar los nombres de DLL nativos que se cargarán en la tabla de biblioteca que falta.

Además, los investigadores de Yoroi analizaron las configuraciones estáticas de la muestra de malware y pudieron extraer algunas direcciones IP remotas que proporcionaron información adicional.

Las direcciones IP utilizadas para alojar StealBit 2.0 se han utilizado en operaciones anteriores para otros fines maliciosos. Estos ataques, que incluyen ataques de phishing a bancos o distribución de malware móvil, no estaban relacionados con el grupo LockBit.

En uno de los casos, se utilizó la misma dirección IP para llevar a cabo ataques de phishing en Italia y exfiltración de datos de ransomware en períodos de tiempo exactos.

En el último mes, TrendMicro publicó un informe que detalla la campaña reciente de LockBit 2.0. Desde el 1 de julio hasta el 15 de agosto, se observaron ataques asociados con LockBit 2.0 en el Reino Unido, Taiwán, Chile e Italia. Además, LockBit 2.0 abusa de herramientas genuinas (por ejemplo, Process Hacker y PC Hunter) para detener procesos / servicios del sistema de la víctima.