Neue Ransomware-Taktik: teilweise Verschlüsselung

Neue Ransomware-Taktik: teilweise Verschlüsselung
Anzeige

Beitrag teilen

Es gibt einen neuen Trend bei Ransomware: Um schneller zu sein und einer Entdeckung zu entgehen, setzen Angreifer auf eine teilweise Verschlüsselung (intermittierend) der Dateien. Wie der Blog der SentinelLabs berichtet, lassen sich auf diese Weise auch Sicherheitsfunktionen überlisten. Eine neue Gefahr! 

Die Experten von SentinelOne beobachten einen neuen Trend in der Ransomware-Szene – intermittierende Verschlüsselung oder teilweise Verschlüsselung der Dateien der Opfer. Diese Verschlüsselungsmethode hilft Ransomware-Betreibern, Erkennungssysteme zu umgehen und die Dateien der Opfer schneller zu verschlüsseln. Statt eine komplette Datei zu verschlüsseln, findet der Prozess nur für alle 16 Bytes einer Datei statt. SentinelOne beobachtet, dass Ransomware-Entwickler die Funktion zunehmend übernehmen und intensiv für die intermittierende Verschlüsselung werben, um Käufer oder Partner anzuziehen.

Anzeige

Gefährlich: Intermittierende Verschlüsselung

Die neue Ransomware-Funktion macht kommende Angriffe besonders gefährlich, da sie sehr schnell erfolgen. Aber das ist nur ein Gefahrenpunkt. Hier die weiteren Gefahren:

Geschwindigkeit

Die Verschlüsselung kann ein zeitintensiver Prozess sein und Zeit ist für Ransomware-Betreiber entscheidend – je schneller sie die Dateien der Opfer verschlüsseln, desto unwahrscheinlicher ist es, dass sie während des Prozesses entdeckt und gestoppt werden. Intermittierende Verschlüsselung richtet in sehr kurzer Zeit unwiederbringlichen Schaden an.

Anzeige

Umgehung der Erkennung

Ransomware-Erkennungssysteme können statistische Analysen verwenden, um den Betrieb von Ransomware zu erkennen. Eine solche Analyse kann die Intensität von Datei-E/A-Vorgängen oder die Ähnlichkeit zwischen einer bekannten Version einer Datei, die nicht von Ransomware betroffen war, und einer mutmaßlich modifizierten, verschlüsselten Version der Datei bewerten. Im Gegensatz zur vollständigen Verschlüsselung hilft die intermittierende Verschlüsselung, solche Analysen zu umgehen, indem sie eine deutlich geringere Intensität von Datei-IO-Operationen und eine viel höhere Ähnlichkeit zwischen unverschlüsselten und verschlüsselten Versionen einer bestimmten Datei aufweist.

Nicht neu, aber leider effektiv

Mitte 2021 war die LockFile-Ransomware eine der ersten großen Ransomware-Familien, die eine intermittierende Verschlüsselung verwendete, um Erkennungsmechanismen zu umgehen, indem sie alle anderen 16 Byte einer Datei verschlüsselte. Seitdem haben sich immer mehr Ransomware-Operationen diesem Trend angeschlossen.

In seinem Blogbeitrag überprüft SentinelOne mehrere neuere Ransomware-Familien, die eine intermittierende Verschlüsselung verwenden, um der Erkennung und Prävention zu entgehen: Qyick, Agenda, BlackCat (ALPHV), PLAY und Black Basta.

Mehr bei SentinelOne.com

 


Über SentinelOne

SentinelOne bietet autonomen Endpunktschutz durch einen einzigen Agenten, der Angriffe über alle wichtigen Vektoren hinweg erfolgreich verhindert, erkennt und darauf reagiert. Die Singularity-Plattform wurde für eine extrem einfache Bedienung entwickelt und spart Kunden Zeit, indem sie KI zur automatischen Beseitigung von Bedrohungen in Echtzeit sowohl für standortbasierte als auch für Cloud-Umgebungen einsetzt.


 

Passende Artikel zum Thema

OneLogin: globale Studie zu Sicherheit im Homeoffice

OneLogin, eines der weltweit führenden Unternehmen im Bereich des Identitäts- und Zugriffsmanagements, hat heute eine neue globale Studie veröffentlicht, in ➡ Weiterlesen

Zyxel: neue KMU-Firewall-Modelle USG-FLEX-100/200/500

Während die Telearbeit zur neuen Normalität wird, stehen Unternehmen vor der Herausforderung, ihre Geschäftstätigkeit sicher zu gestalten und gleichzeitig die ➡ Weiterlesen

Malware, Phishing oder Unachtsamkeit – Was ist das größte Risiko für die IT-Sicherheit?

Nicht Angriffe von außen, sondern die eigenen Mitarbeiter stellen das größte Risiko für die IT-Sicherheit von Unternehmen dar. In der ➡ Weiterlesen

Kaspersky Endpoint Security for Business mit EDR Optimum & Sandbox

Zukunftsweisender 3-in-1-Lösungsansatz für erweiterte Cybersicherheit für mittelständische und große Unternehmen Die neueste Version der Kaspersky-Flaggschifflösung Endpoint Security for Business [1] ➡ Weiterlesen

Analyse-Ergebnisse des Kaspersky Threat Intelligence Portal

Viele eingereichte Anfragen als Link oder Datei an das Kaspersky Threat Intelligence Portal erweisen sich in der Analyse als Trojaner ➡ Weiterlesen

DriveLock Release 2020 mit neuen Funktionen

Das neue DriveLock 2020.1 Release kommt mit zahlreichen Verbesserungen und implementiert Kundenwünsche als Updates: Schwachstellen-Scanner, Self-Service Portal für Anwender, Pre-Boot ➡ Weiterlesen

Kaspersky Security Awareness Training

Kaspersky präsentiert die neue Schulungsplattform Kaspersky Adaptive Online Training, die in Kooperation mit Area9 Lyceum, dem Spezialisten für adaptives und ➡ Weiterlesen

Bitdefender GravityZone mit „Human Risk Analytics“

EDR-Modul jetzt auch On-Premises erhältlich zur Abmilderung von Ransomware-Attacken Bitdefender bietet ab sofort mit Human Risk Analytics eine zusätzliche Funktion ➡ Weiterlesen