Cada cierto tiempo surgen nuevas cepas o familias de ransomware. Una de las últimas en salir a la luz es la conocida con el nombre de 'Luna'.
El hallazgo hay que atribuírselo a la compañía de seguridad Kaspersky, a través de su sistema de monitorización activa Darknet Threat Intelligence. Esta cuenta como sus investigadores descubrieron el malware Luna el mes pasado. Al igual que la nueva familia Black Basta también está escrito en Rust y es capaz de encriptar tanto dispositivos Windows como Linux, así como imágenes de máquinas virtuales ESXi.
En un anuncio publicado en la dark web los cibermalos afirman cooperar solo con socios de habla rusa. Esto supondría que los objetivos de interés para los atacantes están fuera de la antigua Unión Soviética.
Además, su procedencia rusa se evidencia por la nota de rescate incrustada en el código del ransomware, que está en inglés, pero tiene algunos errores ortográficos flagrantes.
Luna sería un ransomware muy simple aún en desarrollo y con capacidades limitadas basadas en las opciones de línea de comandos disponibles. Sin embargo, utiliza un esquema de cifrado no tan común, que combina el intercambio de claves Diffie-Hellman de curva elíptica X25519 rápido y seguro utilizando Curve25519 con el algoritmo de cifrado simétrico del estándar de cifrado avanzado (AES).
Multiplataforma y poco varíable
Desarrollado en Rust como decíamos, el grupo encargado de su creación aprovechó su naturaleza independiente de la plataforma para trasladarlo a otras con muy pocos cambios en el código fuente. Este lenguaje multiplataforma le permitiría evadir los intentos de análisis de código automatizado, según recoge Bleeping Computer.
Es decir, la versión de Linux y la de ESXi de Luna no presentan demasiadas modificaciones respecto a a la de Windows. Esto corresponde con la última tendencia adoptada por las bandas de ciberdelincuentes que desarrollan ransomware multiplataforma para crear malware capaz de atacar diversos sistemas operativas sin apenas cambios.
Kaspersky asegura que por el momento no hay mucha información de las víctimas que hasta el momento han sido atacadas utilizando este nuevo ransomware.