Há uma nova tendência no ransomware: para ser mais rápido e evitar a detecção, os invasores contam com a criptografia parcial (intermitente) dos arquivos. Como relata o blog do SentinelLabs, as funções de segurança também podem ser enganadas dessa maneira. Um novo perigo!
Os especialistas do SentinelOne estão observando uma nova tendência na cena do ransomware – criptografia intermitente ou criptografia parcial dos arquivos das vítimas. Esse método de criptografia ajuda os operadores de ransomware a ignorar os sistemas de detecção e a criptografar os arquivos das vítimas mais rapidamente. Em vez de criptografar um arquivo inteiro, o processo ocorre apenas para todos os 16 bytes de um arquivo. O SentinelOne observa que os desenvolvedores de ransomware estão adotando cada vez mais o recurso e promovendo fortemente a criptografia intermitente para atrair compradores ou parceiros.
Perigoso: criptografia intermitente
O novo recurso de ransomware torna os próximos ataques particularmente perigosos porque acontecem muito rapidamente. Mas isso é apenas um ponto de perigo. Aqui estão os outros perigos:
Geschwindigkeit
A criptografia pode ser um processo demorado, e o tempo é essencial para os operadores de ransomware - quanto mais rápido eles criptografam os arquivos das vítimas, menor a probabilidade de serem detectados e interrompidos no processo. A criptografia intermitente causa danos irreparáveis em um tempo muito curto.
detecção de desvio
Os sistemas de detecção de ransomware podem usar análises estatísticas para detectar a operação de ransomware. Essa análise pode avaliar a intensidade das operações de E/S de arquivo ou a semelhança entre uma versão conhecida de um arquivo que não foi afetado por ransomware e uma versão criptografada e modificada suspeita do arquivo. Em contraste com a criptografia completa, a criptografia intermitente ajuda a contornar essa análise por ter uma intensidade significativamente menor de operações de e/s de arquivo e uma similaridade muito maior entre as versões não criptografadas e criptografadas de um determinado arquivo.
Não é novo, mas infelizmente eficaz
Em meados de 2021, o ransomware LockFile foi uma das primeiras grandes famílias de ransomware a usar criptografia intermitente para contornar os mecanismos de detecção, criptografando 16 bytes alternados de um arquivo. Desde então, mais e mais operações de ransomware aderiram a essa tendência.
Em sua postagem no blog, o SentinelOne analisa várias famílias recentes de ransomware que usam criptografia intermitente para evitar detecção e prevenção: Qyick, Agenda, BlackCat (ALPHV), PLAY e Black Basta.
Mais em SentinelOne.com
Sobre o SentinelOne
O SentinelOne fornece proteção autônoma de endpoint por meio de um único agente que evita, detecta e responde com sucesso a ataques em todos os principais vetores. Projetada para ser extremamente fácil de usar, a plataforma Singularity economiza tempo dos clientes usando IA para remediar ameaças automaticamente em tempo real para ambientes locais e na nuvem.