Iot-beveiligingsbedrijf Blackberry zegt een nieuw soort ransomware te hebben ontdekt. Net als andere ransomwaresoorten, versleutelt LokiLocker bestanden en herstelt ze pas weer na betaling. Betaal je niet, dan verwijdert het programmaatje alle bestanden en maakt het systeem onbruikbaar door de master boot record (mbr) te overschrijven.
LokiLocker richt zich volgens de experts voornamelijk op Engelstalige doelwitten en Windows pc’s. De kwaadaardige code is geschreven in .Net en beveiligd met een schild van Netguard in combinatie met virtualisatie-plugin KoiVM. Deze opzet komt bij andere ransomwaresoftware niet voor, schrijven ze in een blog.
In augustus 2021 werden de eerste gevallen gesignaleerd, vooral in Oost-Europa en Azië. De herkomst is onduidelijk. Het valt de experts op dat de code in foutloos Engels is geschreven, in tegenstelling tot de meeste malware afkomstig uit Rusland en China.
AES en RSA
De versleuteling gebeurt aan de hand van een standaardcombinatie van AES voor bestandsencryptie en RSA voor bescherming van de key. De criminelen roepen hun slachtoffers op via email in contact te komen. Blackberry volgt het standpunt van veel overheden en adviseert om nooit losgeld te betalen. Er is geen tool beschikbaar om bestanden die zijn versleuteld door LokiLocker, te decoderen.
De nieuwe ransomware wordt via een beperkt aantal vage onlineplekken aangeboden als raas, ransomware-as-a-service. Dit gebeurt vaak in combinatie met zogeheten brute-checkers, tools waarmee criminelen geautomatiseerd gestolen accounts kunnen valideren.
LokiLocker is vernoemd naar de Noordse vuurgod Loki, die telkens van gedaante verwisselt en andere goden besteelt.
