C'è una nuova tendenza nel ransomware: per essere più veloci ed evitare il rilevamento, gli aggressori si affidano alla crittografia parziale (intermittente) dei file. Come riporta il blog SentinelLabs, anche le funzioni di sicurezza possono essere ingannate in questo modo. Un nuovo pericolo!
Gli esperti di SentinelOne stanno osservando una nuova tendenza nella scena del ransomware: crittografia intermittente o crittografia parziale dei file delle vittime. Questo metodo di crittografia aiuta gli operatori di ransomware a bypassare i sistemi di rilevamento e crittografare i file delle vittime più velocemente. Invece di crittografare un intero file, il processo avviene solo per tutti i 16 byte di un file. SentinelOne osserva che gli sviluppatori di ransomware adottano sempre di più la funzione e promuovono pesantemente la crittografia intermittente per attirare acquirenti o partner.
Pericoloso: crittografia intermittente
La nuova funzionalità ransomware rende gli attacchi imminenti particolarmente pericolosi perché si verificano molto rapidamente. Ma questo è solo un punto pericoloso. Ecco gli altri pericoli:
Geschwindigkeit
La crittografia può essere un processo che richiede molto tempo e il tempo è essenziale per gli operatori di ransomware: più velocemente crittografano i file delle vittime, meno è probabile che vengano rilevati e bloccati durante il processo. La crittografia intermittente provoca danni irreparabili in brevissimo tempo.
rilevamento del bypass
I sistemi di rilevamento ransomware possono utilizzare analisi statistiche per rilevare il funzionamento del ransomware. Tale analisi può valutare l'intensità delle operazioni di I/O dei file o la somiglianza tra una versione nota di un file che non è stata interessata dal ransomware e una sospetta versione modificata e crittografata del file. Contrariamente alla crittografia completa, la crittografia intermittente aiuta a eludere tale analisi avendo un'intensità significativamente inferiore delle operazioni di IO dei file e una somiglianza molto più elevata tra le versioni non crittografate e crittografate di un determinato file.
Non nuovo, ma purtroppo efficace
A metà del 2021, LockFile ransomware è stata una delle prime grandi famiglie di ransomware a utilizzare la crittografia intermittente per aggirare i meccanismi di rilevamento crittografando ogni altro 16 byte di un file. Da allora, sempre più operazioni ransomware si sono unite a questa tendenza.
Nel suo post sul blog, SentinelOne esamina diverse recenti famiglie di ransomware che utilizzano la crittografia intermittente per eludere il rilevamento e la prevenzione: Qyick, Agenda, BlackCat (ALPHV), PLAY e Black Basta.
Altro su SentinelOne.com
Informazioni su SentinelOne
SentinelOne fornisce protezione autonoma degli endpoint attraverso un singolo agente che previene, rileva e risponde con successo agli attacchi su tutti i principali vettori. Progettata per essere estremamente facile da usare, la piattaforma Singularity fa risparmiare tempo ai clienti utilizzando l'intelligenza artificiale per rimediare automaticamente alle minacce in tempo reale sia per gli ambienti on-premise che per quelli cloud.