Neue Ransomware-Taktik: teilweise Verschlüsselung

Neue Ransomware-Taktik: teilweise Verschlüsselung

Beitrag teilen

Es gibt einen neuen Trend bei Ransomware: Um schneller zu sein und einer Entdeckung zu entgehen, setzen Angreifer auf eine teilweise Verschlüsselung (intermittierend) der Dateien. Wie der Blog der SentinelLabs berichtet, lassen sich auf diese Weise auch Sicherheitsfunktionen überlisten. Eine neue Gefahr! 

Die Experten von SentinelOne beobachten einen neuen Trend in der Ransomware-Szene – intermittierende Verschlüsselung oder teilweise Verschlüsselung der Dateien der Opfer. Diese Verschlüsselungsmethode hilft Ransomware-Betreibern, Erkennungssysteme zu umgehen und die Dateien der Opfer schneller zu verschlüsseln. Statt eine komplette Datei zu verschlüsseln, findet der Prozess nur für alle 16 Bytes einer Datei statt. SentinelOne beobachtet, dass Ransomware-Entwickler die Funktion zunehmend übernehmen und intensiv für die intermittierende Verschlüsselung werben, um Käufer oder Partner anzuziehen.

Gefährlich: Intermittierende Verschlüsselung

Die neue Ransomware-Funktion macht kommende Angriffe besonders gefährlich, da sie sehr schnell erfolgen. Aber das ist nur ein Gefahrenpunkt. Hier die weiteren Gefahren:

Geschwindigkeit

Die Verschlüsselung kann ein zeitintensiver Prozess sein und Zeit ist für Ransomware-Betreiber entscheidend – je schneller sie die Dateien der Opfer verschlüsseln, desto unwahrscheinlicher ist es, dass sie während des Prozesses entdeckt und gestoppt werden. Intermittierende Verschlüsselung richtet in sehr kurzer Zeit unwiederbringlichen Schaden an.

Umgehung der Erkennung

Ransomware-Erkennungssysteme können statistische Analysen verwenden, um den Betrieb von Ransomware zu erkennen. Eine solche Analyse kann die Intensität von Datei-E/A-Vorgängen oder die Ähnlichkeit zwischen einer bekannten Version einer Datei, die nicht von Ransomware betroffen war, und einer mutmaßlich modifizierten, verschlüsselten Version der Datei bewerten. Im Gegensatz zur vollständigen Verschlüsselung hilft die intermittierende Verschlüsselung, solche Analysen zu umgehen, indem sie eine deutlich geringere Intensität von Datei-IO-Operationen und eine viel höhere Ähnlichkeit zwischen unverschlüsselten und verschlüsselten Versionen einer bestimmten Datei aufweist.

Nicht neu, aber leider effektiv

Mitte 2021 war die LockFile-Ransomware eine der ersten großen Ransomware-Familien, die eine intermittierende Verschlüsselung verwendete, um Erkennungsmechanismen zu umgehen, indem sie alle anderen 16 Byte einer Datei verschlüsselte. Seitdem haben sich immer mehr Ransomware-Operationen diesem Trend angeschlossen.

In seinem Blogbeitrag überprüft SentinelOne mehrere neuere Ransomware-Familien, die eine intermittierende Verschlüsselung verwenden, um der Erkennung und Prävention zu entgehen: Qyick, Agenda, BlackCat (ALPHV), PLAY und Black Basta.

Mehr bei SentinelOne.com

 


Über SentinelOne

SentinelOne bietet autonomen Endpunktschutz durch einen einzigen Agenten, der Angriffe über alle wichtigen Vektoren hinweg erfolgreich verhindert, erkennt und darauf reagiert. Die Singularity-Plattform wurde für eine extrem einfache Bedienung entwickelt und spart Kunden Zeit, indem sie KI zur automatischen Beseitigung von Bedrohungen in Echtzeit sowohl für standortbasierte als auch für Cloud-Umgebungen einsetzt.


 

Passende Artikel zum Thema

Datensicherheit & Backup – mehr als ein Fallschirm für Unternehmen

Unternehmen benötigen eine Lösung für Backup, Disaster-Recovery, Archivierung und auch für ihre kalten Daten. Sechs Fragen, sechs Antworten von Hannes ➡ Weiterlesen

Ransomware-Gruppe 8base bedroht KMUs

8base ist eine der aktivsten Ransomware-Gruppen. Sie fokussierte sich in diesem Sommer auf kleine und mittlere Unternehmen. Durch niedrige Sicherheitsbudgets ➡ Weiterlesen

85 Milliarden Bedrohungen blockiert – ein Plus von 30 Prozent

Über 85 Milliarden Bedrohungen wurden im ersten Halbjahr 2023 durch Trend Micro blockiert – rund ein Drittel mehr als im ➡ Weiterlesen

ALPHV: Casinos und Hotels in Las Vegas per Hack lahmgelegt

MGM Resorts, ein US-amerikanischer Betreiber von Hotels und Spielcasinos, wurde vor kurzem von einem Ransomware-Angriff heimgesucht, der mehrere Systeme an ➡ Weiterlesen

Kaspersky wirkt bei INTERPOL Operation mit

Im Rahmen der Operation „Africa Cyber Surge II“ unterstützte Kaspersky INTERPOL mit der Bereitstellung von Threat-Intelligence-Daten. Dadurch konnten die Ermittler, ➡ Weiterlesen

Microsoft: 38 TByte Daten versehentlich offengelegt

Der Security Anbieter Wiz hat beim stöbern im KI-GitHub-Repository von Microsoft 38 TByte an Daten gefunden samt 30.000 internen Teams-Nachrichten. ➡ Weiterlesen

Daten vor Double Extortion Ransomware schützen

Double-Extortion-Angriffe nehmen zu: Bei der Attacke werden nicht nur die Daten verschlüsselt und ein Lösegeld erpresst, sondern auch noch Daten ➡ Weiterlesen

Mit generativer KI Schwachstellen schneller beheben

KI-gestützte Wiederherstellung hilft Security-Teams, Warnungen über Schwachstellen schneller zu verarbeiten und vereinfacht ihre Zusammenarbeit mit Entwicklungsteams. Aqua Security, der Pionier ➡ Weiterlesen