Il y a une nouvelle tendance dans les ransomwares : pour être plus rapides et éviter d'être détectés, les attaquants s'appuient sur un chiffrement partiel (intermittent) des fichiers. Comme le rapporte le blog SentinelLabs, les fonctions de sécurité peuvent également être déjouées de cette manière. Un nouveau péril !
Les experts de SentinelOne observent une nouvelle tendance sur la scène des ransomwares : le chiffrement intermittent ou le chiffrement partiel des fichiers des victimes. Cette méthode de cryptage aide les opérateurs de rançongiciels à contourner les systèmes de détection et à crypter plus rapidement les fichiers des victimes. Au lieu de chiffrer un fichier entier, le processus n'a lieu que pour les 16 octets d'un fichier. SentinelOne observe que les développeurs de ransomwares adoptent de plus en plus la fonctionnalité et promeuvent fortement le chiffrement intermittent pour attirer des acheteurs ou des partenaires.
Dangereux : cryptage intermittent
La nouvelle fonctionnalité de ransomware rend les attaques à venir particulièrement dangereuses car elles se produisent très rapidement. Mais ce n'est qu'un point dangereux. Voici les autres dangers :
Vitesse
Le chiffrement peut être un processus qui prend du temps, et le temps est un facteur essentiel pour les opérateurs de ransomware - plus ils chiffrent rapidement les fichiers des victimes, moins ils sont susceptibles d'être détectés et arrêtés dans le processus. Le cryptage intermittent cause des dommages irréparables en très peu de temps.
détection de contournement
Les systèmes de détection de ransomwares peuvent utiliser une analyse statistique pour détecter le fonctionnement des ransomwares. Une telle analyse peut évaluer l'intensité des opérations d'E/S de fichiers ou la similitude entre une version connue d'un fichier qui n'a pas été affectée par un rançongiciel et une version suspectée modifiée et cryptée du fichier. Contrairement au chiffrement complet, le chiffrement intermittent permet de contourner une telle analyse en ayant une intensité nettement inférieure des opérations d'E/S de fichiers et une similitude beaucoup plus élevée entre les versions non chiffrées et chiffrées d'un fichier donné.
Pas nouveau, mais malheureusement efficace
À la mi-2021, le rançongiciel LockFile a été l'une des premières grandes familles de rançongiciels à utiliser le chiffrement intermittent pour contourner les mécanismes de détection en chiffrant tous les 16 autres octets d'un fichier. Depuis lors, de plus en plus d'opérations de ransomware ont rejoint cette tendance.
Dans son article de blog, SentinelOne passe en revue plusieurs familles récentes de rançongiciels qui utilisent un chiffrement intermittent pour échapper à la détection et à la prévention : Qyick, Agenda, BlackCat (ALPHV), PLAY et Black Basta.
Plus sur SentinelOne.com
À propos de SentinelOne
SentinelOne fournit une protection autonome des terminaux via un agent unique qui empêche, détecte et répond avec succès aux attaques sur tous les principaux vecteurs. Conçue pour être extrêmement facile à utiliser, la plateforme Singularity fait gagner du temps aux clients en utilisant l'IA pour remédier automatiquement aux menaces en temps réel pour les environnements sur site et dans le cloud.