Fortiguard Labs ha descubierto una nueva cepa sofisticada de ransomware llamada Ninilaolocker que representa una desviación significativa del malware de cifrado convencional.
Esta amenaza para dirigir Windows introduce el primer uso documentado del estándar criptográfico SM2 de China en las operaciones de ransomware, marcando un cambio notable hacia las implementaciones criptográficas específicas de la región en actividades cibercriminales.
El nombre del malware, derivado de la palabra china para “queso”, puede insinuar su verdadero propósito como un arma funcional o una trampa elaborada diseñada para engañar a los investigadores de seguridad y víctimas por igual.
Nailaolocker emplea un sistema de entrega de múltiples componentes que consta de tres archivos cuidadosamente orquestados: un ejecutable legítimo (usysdiag.exe) utilizado para la carga lateral de DLL, un cargador malicioso (sensapi.dll) y una carga útil obfuscada (usysdiag.exe.dat).
Este sofisticado mecanismo de implementación permite que el ransomware se ejecute con una detección mínima mientras limpia inmediatamente las trazas forenses al eliminar el componente del cargador después de una ejecución exitosa.
El malware crea un mutex llamado “Lockv7” para evitar múltiples instancias y lanza una ventana de consola que muestra abiertamente su progreso de cifrado, lo que sugiere que no hay intención de ocultar sus actividades de usuarios infectados.
Analistas de Fortinet identificado Varias características únicas que distinguen a Nailaolocker de las familias tradicionales de ransomware.
En particular, el malware incorpora pares de teclas SM2 codificados con codificación incrustados en formato ASN.1 der junto con una función de descifrado incorporada, una combinación extremadamente rara que plantea preguntas sobre su propósito previsto.
DLL carga lateral utilizada para descifrar y cargar Nailaolocker (fuente-Fortinet)
Si bien el ransomware convencional generalmente usa RSA para proteger las claves de cifrado de archivos, Nailaolocker pionera el uso de la criptografía de curva elíptica SM2 para asegurar sus claves de cifrado AES-256-CBC, que representan la primera instancia documentada de este enfoque en el panorama de ransomware.
Arquitectura de cifrado avanzada e implementación de múltiples subprocesos
La sofisticación técnica del ransomware se extiende a su arquitectura de ejecución, lo que aprovecha los puertos de finalización de E/S de Windows (IOCP) para implementar operaciones de cifrado multiproceso de alto rendimiento.
Este diseño permite a Nailaolocker distribuir eficientemente el procesamiento de archivos en múltiples núcleos de CPU, con el malware creando un mínimo de ocho hilos de trabajadores, independientemente de las especificaciones del sistema para garantizar un rendimiento óptimo incluso en las configuraciones de hardware de gama baja.
Durante el proceso de cifrado, Nailaolocker genera material criptográfico único para cada archivo de destino utilizando la función Windows BcryptGenRandom () para crear teclas AES de 32 bytes y vectores de inicialización de 16 bytes.
Luego, el malware utiliza su clave pública SM2 integrada para cifrar estos componentes de cifrado simétrico, almacenando las claves encriptadas de longitud variable en un pie de página estructurado que comienza con el marcador “LV7”.
Este pie de página contiene el tamaño de la tecla AES cifrado, la clave cifrada en sí, el tamaño IV encriptado y el IV encriptado, junto con cualquier datos de desbordamiento que resulte del proceso de académico de cifrado.
Las pruebas revelaron que si bien la clave privada SM2 integrada parece no funcional en la práctica, la lógica de descifrado funciona correctamente cuando se suministra con material AES válido capturado durante el cifrado.
Este descubrimiento, combinado con la exclusión deliberada del malware de los archivos y directorios del sistema crítico, sugiere que Nailaolocker puede representar una tensión en el desarrollo o una compilación de pruebas internas en lugar de una implementación activa lista para una distribución generalizada.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
