La variante detectada por BlackBerry no solo cifra la información, también puede eliminarla de forma definitiva y destruir el disco de arranque si no se paga el rescate.
El ransomware LokiLocker ha intensificado su presencia en América Latina y se perfila como una de las amenazas más destructivas del momento. Detectado por primera vez en agosto de 2021, este malware opera bajo un modelo ransomware-as-a-service (RaaS) y se diferencia de otros por su brutal método de presión: si la víctima no paga el rescate a tiempo, el sistema puede quedar completamente inutilizado mediante el borrado definitivo de archivos y la sobrescritura del registro de arranque (MBR).
Según el equipo de BlackBerry Threat Intelligence, LokiLocker está en manos de alrededor de 30 afiliados ‘VIP’, seleccionados cuidadosamente, lo que sugiere una estructura criminal organizada y sofisticada. A diferencia de otros grupos que filtran datos como parte de su estrategia de doble extorsión, LokiLocker no exfiltra información. Su enfoque es más directo y destructivo: borrar todo rastro del sistema, sin dejar lugar a la negociación si no se cumplen sus exigencias en el plazo establecido.
Un malware diseñado para causar daño irreparable
Escrito en .NET y protegido mediante tecnologías como NETGuard y el complemento KoiVM, LokiLocker utiliza cifrado AES combinado con RSA para bloquear los archivos. Pero su característica más alarmante es la capacidad de eliminar todos los archivos no pertenecientes al sistema y reescribir el MBR, lo que impide que el equipo arranque nuevamente sin una intervención técnica avanzada.
Durante un ataque típico, los delincuentes proporcionan un archivo HTA que incluye un mensaje curioso: recomiendan a la víctima no pagar hasta probar el descifrado de tres archivos como muestra de buena fe. Pero la advertencia no deja lugar a dudas: si no se paga, los datos se perderán para siempre.
¿Quién está detrás de LokiLocker?
El origen de LokiLocker sigue sin estar claro. Sin embargo, el análisis de cadenas de depuración sugiere que sus desarrolladores son angloparlantes, ya que el código muestra gramática y redacción precisas en inglés. Esto excluye, al menos parcialmente, la posibilidad de que se trate de un grupo procedente de Rusia o China. Algunas de las primeras herramientas de distribución de LokiLocker provienen de un grupo denominado AccountCrack, y varios de los afiliados están conectados con foros de hacking bien conocidos.
América Latina en el radar
Aunque originalmente se dirigía a usuarios de habla inglesa, la actividad reciente sugiere una expansión hacia Latinoamérica. La acelerada transformación digital y el bajo nivel de protección en muchas organizaciones de la región hacen de este un terreno fértil para ataques de este tipo, especialmente en contextos de teletrabajo con dispositivos personales conectados a redes corporativas.
¿Es posible mitigar un ataque de LokiLocker?
A día de hoy, no existe una herramienta de descifrado disponible para recuperar archivos afectados por LokiLocker. Por tanto, la mejor defensa sigue siendo la prevención:
- Implementar copias de seguridad periódicas y desconectadas de la red.
- Monitorizar activamente la infraestructura en busca de comportamientos sospechosos.
- Aplicar parches y actualizaciones de seguridad con regularidad.
- Formar al personal en el reconocimiento de correos y enlaces maliciosos.
Aunque el hecho de que LokiLocker no robe información puede parecer positivo, la realidad es que su enfoque destructivo lo convierte en una de las cepas más peligrosas de ransomware. Frente a amenazas que buscan bloquear sin retorno, una buena estrategia de ciberseguridad sigue siendo el único antídoto fiable.
vía: Linkedin
