Es gibt einen neuen Trend bei Ransomware: Um schneller zu sein und einer Entdeckung zu entgehen, setzen Angreifer auf eine teilweise Verschlüsselung (intermittierend) der Dateien. Wie der Blog der SentinelLabs berichtet, lassen sich auf diese Weise auch Sicherheitsfunktionen überlisten. Eine neue Gefahr!
Die Experten von SentinelOne beobachten einen neuen Trend in der Ransomware-Szene – intermittierende Verschlüsselung oder teilweise Verschlüsselung der Dateien der Opfer. Diese Verschlüsselungsmethode hilft Ransomware-Betreibern, Erkennungssysteme zu umgehen und die Dateien der Opfer schneller zu verschlüsseln. Statt eine komplette Datei zu verschlüsseln, findet der Prozess nur für alle 16 Bytes einer Datei statt. SentinelOne beobachtet, dass Ransomware-Entwickler die Funktion zunehmend übernehmen und intensiv für die intermittierende Verschlüsselung werben, um Käufer oder Partner anzuziehen.
Gefährlich: Intermittierende Verschlüsselung
Die neue Ransomware-Funktion macht kommende Angriffe besonders gefährlich, da sie sehr schnell erfolgen. Aber das ist nur ein Gefahrenpunkt. Hier die weiteren Gefahren:
Geschwindigkeit
Die Verschlüsselung kann ein zeitintensiver Prozess sein und Zeit ist für Ransomware-Betreiber entscheidend – je schneller sie die Dateien der Opfer verschlüsseln, desto unwahrscheinlicher ist es, dass sie während des Prozesses entdeckt und gestoppt werden. Intermittierende Verschlüsselung richtet in sehr kurzer Zeit unwiederbringlichen Schaden an.
Umgehung der Erkennung
Ransomware-Erkennungssysteme können statistische Analysen verwenden, um den Betrieb von Ransomware zu erkennen. Eine solche Analyse kann die Intensität von Datei-E/A-Vorgängen oder die Ähnlichkeit zwischen einer bekannten Version einer Datei, die nicht von Ransomware betroffen war, und einer mutmaßlich modifizierten, verschlüsselten Version der Datei bewerten. Im Gegensatz zur vollständigen Verschlüsselung hilft die intermittierende Verschlüsselung, solche Analysen zu umgehen, indem sie eine deutlich geringere Intensität von Datei-IO-Operationen und eine viel höhere Ähnlichkeit zwischen unverschlüsselten und verschlüsselten Versionen einer bestimmten Datei aufweist.
Nicht neu, aber leider effektiv
Mitte 2021 war die LockFile-Ransomware eine der ersten großen Ransomware-Familien, die eine intermittierende Verschlüsselung verwendete, um Erkennungsmechanismen zu umgehen, indem sie alle anderen 16 Byte einer Datei verschlüsselte. Seitdem haben sich immer mehr Ransomware-Operationen diesem Trend angeschlossen.
In seinem Blogbeitrag überprüft SentinelOne mehrere neuere Ransomware-Familien, die eine intermittierende Verschlüsselung verwenden, um der Erkennung und Prävention zu entgehen: Qyick, Agenda, BlackCat (ALPHV), PLAY und Black Basta.
Mehr bei SentinelOne.com
Über SentinelOne
SentinelOne bietet autonomen Endpunktschutz durch einen einzigen Agenten, der Angriffe über alle wichtigen Vektoren hinweg erfolgreich verhindert, erkennt und darauf reagiert. Die Singularity-Plattform wurde für eine extrem einfache Bedienung entwickelt und spart Kunden Zeit, indem sie KI zur automatischen Beseitigung von Bedrohungen in Echtzeit sowohl für standortbasierte als auch für Cloud-Umgebungen einsetzt.