BlackBerry ha confermato che LokiLocker è stato rilevato in ambienti aziendali e ha rintracciato l’inizio del ransomware a strumenti di hacking brute-checker troianizzati per servizi di consumo popolari. Si tratta di una nuova famiglia di ransomware-as-a-service che include una tattica false flag. I ricercatori BlackBerry riferiscono che il nuovo vettore di attacco prende di mira gli anglofoni e le macchine Windows. Il malware è scritto in .NET e protetto con NET Guard: un plugin aggiuntivo di virtualizzazione chiamato KoiVM, secondo il rapporto BlackBerry.
Questo ransomware è stato inizialmente distribuito all’interno di strumenti di hacking brute-checker tra cui PayPal BruteChecker, Spotify BruteChecker, PiaVPN Brute Checker di ACTEAM e FPSN Checker di Angeal. Il software cripta i file e include una “funzionalità wiper” opzionale che cancella automaticamente i file se l’obiettivo non paga il riscatto entro la scadenza.
I ricercatori BlackBerry credono che LokiLocker sia distribuito da circa 30 affiliati, compresi alcuni associati con gli hacker iraniani.