Neue Ransomware-Taktik: teilweise Verschlüsselung

Neue Ransomware-Taktik: teilweise Verschlüsselung

Beitrag teilen

Es gibt einen neuen Trend bei Ransomware: Um schneller zu sein und einer Entdeckung zu entgehen, setzen Angreifer auf eine teilweise Verschlüsselung (intermittierend) der Dateien. Wie der Blog der SentinelLabs berichtet, lassen sich auf diese Weise auch Sicherheitsfunktionen überlisten. Eine neue Gefahr! 

Die Experten von SentinelOne beobachten einen neuen Trend in der Ransomware-Szene – intermittierende Verschlüsselung oder teilweise Verschlüsselung der Dateien der Opfer. Diese Verschlüsselungsmethode hilft Ransomware-Betreibern, Erkennungssysteme zu umgehen und die Dateien der Opfer schneller zu verschlüsseln. Statt eine komplette Datei zu verschlüsseln, findet der Prozess nur für alle 16 Bytes einer Datei statt. SentinelOne beobachtet, dass Ransomware-Entwickler die Funktion zunehmend übernehmen und intensiv für die intermittierende Verschlüsselung werben, um Käufer oder Partner anzuziehen.

Anzeige

Gefährlich: Intermittierende Verschlüsselung

Die neue Ransomware-Funktion macht kommende Angriffe besonders gefährlich, da sie sehr schnell erfolgen. Aber das ist nur ein Gefahrenpunkt. Hier die weiteren Gefahren:

Geschwindigkeit

Die Verschlüsselung kann ein zeitintensiver Prozess sein und Zeit ist für Ransomware-Betreiber entscheidend – je schneller sie die Dateien der Opfer verschlüsseln, desto unwahrscheinlicher ist es, dass sie während des Prozesses entdeckt und gestoppt werden. Intermittierende Verschlüsselung richtet in sehr kurzer Zeit unwiederbringlichen Schaden an.

Umgehung der Erkennung

Ransomware-Erkennungssysteme können statistische Analysen verwenden, um den Betrieb von Ransomware zu erkennen. Eine solche Analyse kann die Intensität von Datei-E/A-Vorgängen oder die Ähnlichkeit zwischen einer bekannten Version einer Datei, die nicht von Ransomware betroffen war, und einer mutmaßlich modifizierten, verschlüsselten Version der Datei bewerten. Im Gegensatz zur vollständigen Verschlüsselung hilft die intermittierende Verschlüsselung, solche Analysen zu umgehen, indem sie eine deutlich geringere Intensität von Datei-IO-Operationen und eine viel höhere Ähnlichkeit zwischen unverschlüsselten und verschlüsselten Versionen einer bestimmten Datei aufweist.

Nicht neu, aber leider effektiv

Mitte 2021 war die LockFile-Ransomware eine der ersten großen Ransomware-Familien, die eine intermittierende Verschlüsselung verwendete, um Erkennungsmechanismen zu umgehen, indem sie alle anderen 16 Byte einer Datei verschlüsselte. Seitdem haben sich immer mehr Ransomware-Operationen diesem Trend angeschlossen.

In seinem Blogbeitrag überprüft SentinelOne mehrere neuere Ransomware-Familien, die eine intermittierende Verschlüsselung verwenden, um der Erkennung und Prävention zu entgehen: Qyick, Agenda, BlackCat (ALPHV), PLAY und Black Basta.

Mehr bei SentinelOne.com

 


Über SentinelOne

SentinelOne bietet autonomen Endpunktschutz durch einen einzigen Agenten, der Angriffe über alle wichtigen Vektoren hinweg erfolgreich verhindert, erkennt und darauf reagiert. Die Singularity-Plattform wurde für eine extrem einfache Bedienung entwickelt und spart Kunden Zeit, indem sie KI zur automatischen Beseitigung von Bedrohungen in Echtzeit sowohl für standortbasierte als auch für Cloud-Umgebungen einsetzt.


 

Passende Artikel zum Thema

KI-Aufbau: Neuer API-Service für Amazon Bedrock

Annapurna, der neue Application Programming Interface (API)-Service von Rubrik lässt sich direkt in Amazon Bedrock integrieren und richtet sich an ➡ Weiterlesen

Cloud SIEM für Echtzeit-Bedrohungserkennung 

Modernes Cloud SIEM soll für Echtzeit-Bedrohungserkennung und ein effizientes Monitoring sorgen. Das Cloud SIEM von Datadog setzt auf moderne Architekturen und ➡ Weiterlesen

Zero-Standing-Privileges: Mythos und Wahrheit unterscheiden

Was kann das Zero-Standing-Privileges (ZSP)-Prinzip und was ist Mythos? ZSP ist eine wichtige Komponente in der Identitätssicherheit. Seine Möglichkeiten werden ➡ Weiterlesen

Ransomware-Angriff auf Fraunhofer-Institut

Ein Ransomware-Angriffe hat bereits am 27. Dezember 2024 das Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO in Stuttgart getroffen. Das Institut ➡ Weiterlesen

Verschlüsselung unvollständig: Akira-Hacker werden nachlässig

Viele Unternehmen geben im Fall eines Ransomware-Angriffs nach und zahlen Lösegeld an die Kriminellen. Aber auch die Angreifer unterliegen Zeitdruck ➡ Weiterlesen

Deepnude AI Image Generator als Köder

Vor kurzem haben Cybersicherheitsexperten von Silent Push in einem Blogbeitrag eine neue Angriffstaktik der Bedrohungsgruppe FIN7 vorgestellt. Die Cyberkriminellen nutzen ➡ Weiterlesen

Cybersecurity: Zugriff auf umfangreiche Bedrohungsdaten

Die Erweiterung der Arctic Wolf Security Operations Platform Aurora bietet Unternehmen Zugriff auf die Bedrohungsdaten ihres eigenen großen Security Operation ➡ Weiterlesen

Studie: Gefahr durch fehlende Post-Quantum-Kryptographie

Das Entrust Cybersecurity Institute hat die Ergebnisse einer weltweiten Umfrage zum Thema Post-Quantum-Kryptographie veröffentlicht. Hierin wird analysiert, inwieweit Unternehmen auf ➡ Weiterlesen