Fidye yazılımlarında yeni bir trend var: Saldırganlar daha hızlı olmak ve tespit edilmekten kaçınmak için dosyaların kısmi (aralıklı) şifrelemesine güveniyor. SentinelLabs blogunun bildirdiği gibi, güvenlik işlevleri de bu şekilde alt edilebilir. Yeni bir tehlike!
SentinelOne uzmanları, fidye yazılımı sahnesinde yeni bir trend gözlemliyor – kurbanların dosyalarının aralıklı olarak şifrelenmesi veya kısmi olarak şifrelenmesi. Bu şifreleme yöntemi, fidye yazılımı operatörlerinin algılama sistemlerini atlamasına ve kurbanların dosyalarını daha hızlı şifrelemesine yardımcı olur. Tüm bir dosyayı şifrelemek yerine, işlem yalnızca bir dosyanın 16 baytının tümü için gerçekleşir. SentinelOne, fidye yazılımı geliştiricilerinin bu özelliği giderek daha fazla benimsediğini ve alıcıları veya ortakları çekmek için aralıklı şifrelemeyi yoğun bir şekilde teşvik ettiğini gözlemliyor.
Tehlikeli: Aralıklı şifreleme
Yeni fidye yazılımı özelliği, yaklaşan saldırıları çok hızlı gerçekleştiği için özellikle tehlikeli hale getiriyor. Ama bu sadece bir tehlike noktası. İşte diğer tehlikeler:
Geschwindigkeit
Şifreleme, zaman alıcı bir süreç olabilir ve fidye yazılımı operatörleri için zaman çok önemlidir - kurbanların dosyalarını ne kadar hızlı şifrelerlerse, tespit edilmeleri ve işlem sırasında durdurulmaları o kadar az olasıdır. Aralıklı şifreleme çok kısa sürede onarılamaz hasarlara neden olur.
baypas algılama
Fidye yazılımı tespit sistemleri, fidye yazılımı operasyonunu tespit etmek için istatistiksel analiz kullanabilir. Bu tür bir analiz, dosya G/Ç işlemlerinin yoğunluğunu veya bir dosyanın fidye yazılımından etkilenmeyen bilinen bir sürümü ile dosyanın şüpheli değiştirilmiş, şifrelenmiş bir sürümü arasındaki benzerliği değerlendirebilir. Tam şifrelemenin aksine, aralıklı şifreleme, dosya IO işlemlerinin yoğunluğunu önemli ölçüde azaltarak ve belirli bir dosyanın şifrelenmemiş ve şifrelenmiş sürümleri arasında çok daha yüksek benzerlik sağlayarak bu tür analizleri atlatmaya yardımcı olur.
Yeni değil ama ne yazık ki etkili
2021'in ortalarında LockFile fidye yazılımı, bir dosyanın her 16 baytını şifreleyerek algılama mekanizmalarını atlamak için aralıklı şifreleme kullanan ilk büyük fidye yazılımı ailelerinden biriydi. O zamandan beri, giderek daha fazla fidye yazılımı operasyonu bu eğilime katıldı.
SentinelOne blog gönderisinde, tespit ve önlemeden kaçınmak için aralıklı şifreleme kullanan birkaç yeni fidye yazılımı ailesini inceliyor: Qyick, Agenda, BlackCat (ALPHV), PLAY ve Black Basta.
Daha fazlası SentinelOne.com'da
SentinelOne Hakkında
SentinelOne, tüm ana vektörlerdeki saldırıları başarılı bir şekilde önleyen, algılayan ve bunlara yanıt veren tek bir aracı aracılığıyla otonom uç nokta koruması sağlar. Kullanımı son derece kolay olacak şekilde tasarlanan Singularity platformu, hem şirket içi hem de bulut ortamları için tehditleri gerçek zamanlı olarak otomatik olarak düzeltmek için yapay zekayı kullanarak müşterilere zaman kazandırır.