Όλο και περισσότερες συμμορίες ransomware φαίνεται πως υιοθετούν μια νέα τακτική κρυπτογράφησης, το intermittent encryption, που βοηθά στην πιο γρήγορη κρυπτογράφηση των συστημάτων και στην αποφυγή του εντοπισμού ή οποιασδήποτε διακοπής.
Το intermittent encryption αναφέρεται ουσιαστικά στην κρυπτογράφηση μερικών μόνο τμημάτων του περιεχομένου των στοχευμένων αρχείων, η οποία όμως καθιστά τα δεδομένα μη προσβάσιμα, όπως και στην κανονική κρυπτογράφηση. Το θύμα χρειάζεται ένα έγκυρο κλειδί αποκρυπτογράφησης για να μπορέσει να ανακτήσει τα αρχεία του.
Δείτε επίσης: HP: Firmware bugs δεν έχουν διορθωθεί εδώ και ένα χρόνο
Για παράδειγμα, παραλείποντας κάποια bytes ενός αρχείου, η διαδικασία κρυπτογράφησης διαρκεί πολύ λιγότερο σε σχέση με την πλήρη κρυπτογράφηση, αλλά επιτρέπει το κλείδωμα του περιεχομένου. Επομένως, υπάρχει το πλεονέκτημα ότι γίνεται η κρυπτογράφηση, αλλά πολύ πιο γρήγορα (ακόμα και στο μισό χρόνο). Η κρυπτογράφηση μπορεί να είναι μια χρονοβόρα διαδικασία και ο χρόνος είναι ζωτικής σημασίας για τους χειριστές ransomware. Όσο πιο γρήγορα κρυπτογραφούν τα αρχεία των θυμάτων, τόσο λιγότερο πιθανό είναι να εντοπιστούν και να γίνει διακοπή της διαδικασίας.
Επιπλέον, επειδή το intermittent encryption είναι ουσιαστικά μια πιο “ήπια κρυπτογράφηση”, τα εργαλεία αυτοματοποιημένης ανίχνευσης που βασίζονται στην ανίχνευση ενδείξεων προβλημάτων με τη μορφή έντονων file IO operations είναι πιο πιθανό να αποτύχουν. Επίσης, το intermittent encryption καθιστά άχρηστη και μια ανάλυση που αξιολογεί την ομοιότητα μεταξύ μιας γνωστής έκδοσης ενός αρχείου, η οποία δεν έχει επηρεαστεί από ransomware, και μιας ύποπτης τροποποιημένης, κρυπτογραφημένης έκδοσης του αρχείου.
Δείτε επίσης: Mobile malware: Όσα πρέπει να ξέρεις για το κακόβουλο λογισμικό
Ερευνητές της SentinelLabs δημοσίευσαν μια αναφορά που εξετάζει αυτή τη νέα τάση που φαίνεται πως ξεκίνησε από την ομάδα πίσω από το LockFile ransomware στα μέσα του 2021. Τώρα, όμως, το intermittent encryption έχει υιοθετηθεί και από άλλες ransomware συμμορίες, όπως οι Black Basta, ALPHV (BlackCat), PLAY, Agenda και Qyick.
“Ειδικά, το Qyick ransomware προσφέρει intermittent encryption, κάτι που χρησιμοποιούν τα cool παιδιά. Σε συνδυασμό με το γεγονός ότι είναι γραμμένο σε Go, η ταχύτητα είναι απαράμιλλη“, περιγράφει μια διαφήμιση του Qyick σε hacking
φόρουμ.Το Agenda ransomware προσφέρει, επίσης, intermittent encryption ως προαιρετική και διαμορφώσιμη ρύθμιση.
Η εφαρμογή του intermittent encryption από την BlackCat παρέχει επίσης στους χειριστές επιλογές διαμόρφωσης με τη μορφή διαφόρων μοτίβων παράκαμψης byte. Για παράδειγμα, το κακόβουλο λογισμικό μπορεί να κρυπτογραφήσει μόνο τα πρώτα byte ενός αρχείου, να ακολουθεί ένα dot pattern κλπ και έχει επίσης ένα “auto” mode που συνδυάζει πολλαπλές λειτουργίες.
Όσον αφορά στο πιο πρόσφατο PLAY ransomware δεν δίνει επιλογές διαμόρφωσης, αλλά αντ’ αυτού, σπάει το αρχείο σε 2, 3 ή 5 κομμάτια, ανάλογα με το μέγεθος του αρχείου, και στη συνέχεια κρυπτογραφεί κάποια από τα κομμάτια.
Δείτε επίσης: Επίθεση GIFShell μολύνει το Microsoft Teams με χρήση GIFs
Τέλος, το Black Basta, ένα από τα πιο δημοφιλή ransomware, επίσης δεν δίνει στους χειριστές την επιλογή να επιλέξουν μεταξύ των τρόπων λειτουργίας, καθώς το malware αποφασίζει τι να κάνει με βάση το μέγεθος του αρχείου. Ωστόσο, φαίνεται πως και αυτό το ransomware έχει υιοθετήσει για τα καλά το intermittent encryption. Για μικρά αρχεία μεγέθους κάτω των 704 byte, κρυπτογραφεί όλο το περιεχόμενο. Για αρχεία μεταξύ 704 byte και 4 KB, κρυπτογραφεί 64 byte και παραλείπει 192 byte ενδιάμεσα.
Intermittent encryption: Η νέα τάση στις ransomware επιθέσεις
Το intermittent encryption φαίνεται να έχει σημαντικά πλεονεκτήματα, επομένως οι αναλυτές ασφαλείας αναμένουν ότι περισσότερες συμμορίες ransomware θα υιοθετήσουν αυτήν την προσέγγιση.
Το LockBit ransomware είναι ήδη το πιο γρήγορο όσον αφορά τις ταχύτητες κρυπτογράφησης, οπότε αν η συμμορία υιοθετήσει αυτή την τεχνική, τα πράγματα θα γίνουν πολύ πιο δύσκολα για τα θύματα, αφού η κρυπτογράφηση των αρχείων θα είναι δυνατή σε λίγα μόνο λεπτά.
Πηγή: www.bleepingcomputer.com