रैंसमवेयर में एक नया चलन है: तेज़ होने और पता लगाने से बचने के लिए, हमलावर फ़ाइलों के आंशिक (आंतरायिक) एन्क्रिप्शन पर भरोसा करते हैं। सेंटिनललैब्स ब्लॉग रिपोर्ट के अनुसार, सुरक्षा कार्यों को भी इस तरह से मात दी जा सकती है। एक नया खतरा!
SentinelOne विशेषज्ञ रैनसमवेयर दृश्य में एक नया चलन देख रहे हैं - पीड़ितों की फ़ाइलों का आंतरायिक एन्क्रिप्शन या आंशिक एन्क्रिप्शन। यह एन्क्रिप्शन विधि रैंसमवेयर ऑपरेटरों को डिटेक्शन सिस्टम को बायपास करने और पीड़ितों की फ़ाइलों को तेज़ी से एन्क्रिप्ट करने में मदद करती है। संपूर्ण फ़ाइल को एन्क्रिप्ट करने के बजाय, प्रक्रिया केवल फ़ाइल के सभी 16 बाइट्स के लिए होती है। SentinelOne का कहना है कि रैंसमवेयर डेवलपर तेजी से इस सुविधा को अपना रहे हैं और खरीदारों या भागीदारों को आकर्षित करने के लिए आंतरायिक एन्क्रिप्शन को बढ़ावा दे रहे हैं।
खतरनाक: आंतरायिक एन्क्रिप्शन
नया रैंसमवेयर फीचर आने वाले हमलों को विशेष रूप से खतरनाक बनाता है क्योंकि वे बहुत जल्दी होते हैं। लेकिन वह सिर्फ एक खतरे का बिंदु है। यहाँ अन्य खतरे हैं:
Geschwindigkeit
एन्क्रिप्शन एक समय लेने वाली प्रक्रिया हो सकती है, और रैंसमवेयर ऑपरेटरों के लिए समय का सार है - जितनी तेज़ी से वे पीड़ितों की फ़ाइलों को एन्क्रिप्ट करते हैं, उतनी ही कम संभावना होती है कि उनका पता लगाया जाए और प्रक्रिया में रोक दिया जाए। आंतरायिक एन्क्रिप्शन बहुत कम समय में अपूरणीय क्षति का कारण बनता है।
बाईपास का पता लगाना
रैंसमवेयर डिटेक्शन सिस्टम रैंसमवेयर ऑपरेशन का पता लगाने के लिए सांख्यिकीय विश्लेषण का उपयोग कर सकते हैं। ऐसा विश्लेषण फ़ाइल I/O संचालन की तीव्रता या फ़ाइल के ज्ञात संस्करण के बीच समानता का आकलन कर सकता है जो रैंसमवेयर और फ़ाइल के संदिग्ध संशोधित, एन्क्रिप्टेड संस्करण से प्रभावित नहीं था। पूर्ण एन्क्रिप्शन के विपरीत, आंतरायिक एन्क्रिप्शन फ़ाइल IO संचालन की काफी कम तीव्रता और किसी फ़ाइल के अनएन्क्रिप्टेड और एन्क्रिप्टेड संस्करणों के बीच बहुत अधिक समानता होने से इस तरह के विश्लेषण को दरकिनार करने में मदद करता है।
नया नहीं, लेकिन दुर्भाग्य से प्रभावी
2021 के मध्य में, LockFile रैनसमवेयर उन पहले प्रमुख रैंसमवेयर परिवारों में से एक था, जो एक फ़ाइल के हर दूसरे 16 बाइट्स को एन्क्रिप्ट करके डिटेक्शन मैकेनिज्म को बायपास करने के लिए रुक-रुक कर एन्क्रिप्शन का उपयोग करता था। तब से, अधिक से अधिक रैंसमवेयर ऑपरेशन इस प्रवृत्ति में शामिल हो गए हैं।
अपने ब्लॉग पोस्ट में SentinelOne हाल के कई रैंसमवेयर परिवारों की समीक्षा करता है जो पहचान और रोकथाम से बचने के लिए रुक-रुक कर एन्क्रिप्शन का उपयोग करते हैं: Qyick, Agenda, BlackCat (ALPHV), PLAY, और Black Basta।
SentinelOne.com पर अधिक
SentinelOne के बारे में
SentinelOne एकल एजेंट के माध्यम से स्वायत्त समापन बिंदु सुरक्षा प्रदान करता है जो सभी प्रमुख वैक्टरों में हमलों को सफलतापूर्वक रोकता है, उनका पता लगाता है और उनका जवाब देता है। उपयोग करने में बेहद आसान होने के लिए डिज़ाइन किया गया, सिंगुलैरिटी प्लेटफ़ॉर्म ऑन-प्रिमाइसेस और क्लाउड वातावरण दोनों के लिए वास्तविक समय में खतरों को स्वचालित रूप से दूर करने के लिए AI का उपयोग करके ग्राहकों का समय बचाता है।