Los investigadores de seguridad de Kaspersky han revelado detalles de una nueva familia de ransomware escrita en Rust, lo que la convierte en la tercera variedad, después de BlackCat y Hive, en usar el lenguaje de programación.

Luna, como se le llama, es «bastante simple» y puede ejecutarse en sistemas Windows, Linux y ESXi, con el malware apostando por una combinación de Curve25519 y AES para el cifrado.

«Tanto las muestras de Linux como las de ESXi se compilan utilizando el mismo código fuente con algunos cambios menores con respecto a la versión de Windows», señaló la firma rusa en un informe publicado.

Los anuncios de Luna en los foros de la red oscura sugieren que el ransomware está destinado a ser utilizado solo por afiliados de habla rusa. También se cree que sus desarrolladores principales son de origen ruso debido a errores ortográficos en la nota de rescate codificada dentro del binario.

«Luna confirma la tendencia del ransomware multiplataforma», afirmaron los investigadores, y agregaron cómo la naturaleza agnóstica de la plataforma de lenguajes como Golang y Rust les brinda a los operadores la capacidad de apuntar y atacar a escala y evadir el análisis estático.

Dicho esto, hay muy poca información sobre los patrones de victimología dado que Luna es un grupo criminal recién descubierto y su actividad aún está siendo monitoreada activamente.

Luna está lejos de ser el único ransomware que puso sus ojos en los sistemas ESXi, ya que otra familia de ransomware naciente conocida como Black Basta se actualizó el mes pasado para incluir una variante de Linux.

Black Basta también se destaca por iniciar un sistema Windows en modo seguro antes del cifrado para aprovechar el hecho de que las soluciones de detección de puntos finales de terceros pueden no iniciarse después de iniciar el sistema operativo en modo seguro. Esto permite que el ransomware pase desapercibido y bloquee fácilmente los archivos deseados.

«El ransomware sigue siendo un gran problema para la sociedad actual», dijeron los investigadores. «Tan pronto como algunas familias bajan del escenario, otras toman su lugar».

LockBit, sin embargo, sigue siendo una de las pandillas de ransomware más activas de 2022 y, a menudo, depende del acceso RDP a las redes empresariales para deshabilitar los servicios de copia de seguridad y crear una política de grupo para finalizar los procesos en ejecución y ejecutar la carga útil del ransomware.

«El éxito de LockBit también se debe a la continua evolución de características y tácticas de sus desarrolladores y afiliados, que incluyen la rápida velocidad de encriptación del malware, la capacidad de apuntar a máquinas con Windows y Linux, sus descaradas campañas de reclutamiento y objetivos de alto perfil», Symantec Threat Hunter Team, parte de Broadcom Software, en un informe.