У програмі-вимагачі з’явилася нова тенденція: щоб бути швидшими та уникнути виявлення, зловмисники покладаються на часткове (переривчасте) шифрування файлів. Як повідомляє блог SentinelLabs, таким чином можна перехитрити і функції безпеки. Нова небезпека!
Експерти SentinelOne спостерігають нову тенденцію в сфері програм-вимагачів – періодичне шифрування або часткове шифрування файлів жертв. Цей метод шифрування допомагає операторам програм-вимагачів обходити системи виявлення та швидше шифрувати файли жертв. Замість шифрування всього файлу процес виконується лише для всіх 16 байтів файлу. SentinelOne зауважує, що розробники програм-вимагачів все частіше використовують цю функцію та активно просувають періодичне шифрування, щоб залучити покупців або партнерів.
Небезпечно: періодичне шифрування
Нова функція програми-вимагача робить наступні атаки особливо небезпечними, оскільки вони відбуваються дуже швидко. Але це лише один небезпечний момент. Ось інші небезпеки:
Geschwindigkeit
Шифрування може бути трудомістким процесом, і час має важливе значення для операторів програм-вимагачів: чим швидше вони шифрують файли жертв, тим менша ймовірність, що їх виявлять і зупинять у процесі. Переривчасте шифрування завдає непоправної шкоди за дуже короткий час.
виявлення обходу
Системи виявлення програм-вимагачів можуть використовувати статистичний аналіз для виявлення роботи програм-вимагачів. Такий аналіз може оцінити інтенсивність операцій введення-виведення файлів або схожість між відомою версією файлу, на яку не вплинуло програмне забезпечення-вимагач, і ймовірно зміненою зашифрованою версією файлу. На відміну від повного шифрування, періодичне шифрування допомагає обійти такий аналіз завдяки значно нижчій інтенсивності операцій введення-виведення файлів і значно вищій схожості між незашифрованою та зашифрованою версіями певного файлу.
Не новий, але, на жаль, ефективний
У середині 2021 року програма-вимагач LockFile була однією з перших великих сімей програм-вимагачів, яка використовувала періодичне шифрування, щоб обійти механізми виявлення, шифруючи кожні інші 16 байтів файлу. Відтоді до цієї тенденції приєднується все більше й більше програм-вимагачів.
У своєму блозі SentinelOne розглядає кілька останніх сімей програм-вимагачів, які використовують періодичне шифрування, щоб уникнути виявлення та запобігання: Qyick, Agenda, BlackCat (ALPHV), PLAY і Black Basta.
Більше на SentinelOne.com
Про SentinelOne
SentinelOne забезпечує автономний захист кінцевої точки за допомогою єдиного агента, який успішно запобігає, виявляє та реагує на атаки в усіх основних напрямках. Надзвичайно проста у використанні платформа Singularity економить час клієнтів, використовуючи ШІ для автоматичного усунення загроз у режимі реального часу як для локальних, так і для хмарних середовищ.