0
0
Cada vez mais utilizada por hackers, tática permite a criptografia de sistemas de forma mais rápida e reduz a possibilidade de ser detectada e interrompida
Um número crescente de grupos que operam ransomware passou a adotar a tática de criptografia intermitente para encriptar os sistemas de suas vítimas de forma mais rapidamente e que reduz a chance de ser detectada e interrompida.
A tática consiste em criptografar apenas partes do conteúdo dos arquivos — o que ainda torna os dados irrecuperáveis —, sem o uso de uma chave de descriptografia válida. Por exemplo, para arquivos entre 704 bytes e 4 KB, ele criptografa 64 bytes e pula 192 bytes entre eles. Ao transpor os 192 bytes de um arquivo, o processo de criptografia leva quase metade do tempo necessário para a criptografia completa, mas ainda assim bloqueia o conteúdo para sempre.
Além disso, como a criptografia é mais “suave”, as ferramentas de detecção automatizadas, que contam com a identificação de sinais de problemas em operações intensas de entrada e saída (I/O) de arquivos, têm maior probabilidade de falhar.
O SentinelLabs, da empresa de cibersegurança SentinelOne, publicou um relatório examinando uma tendência iniciada no ano passado pelo grupo que opera o ransomware LockFile em meados de 2021 e agora adotada por gangues como o Black Basta, ALPHV (BlackCat), PLAY, Agenda e Qyick. Esses grupos promovem ativamente a presença de recursos de criptografia intermitente em suas famílias de ransomware para atrair afiliados para operações de RaaS (ransomware-as-a-service).
“Notavelmente, o Qyick apresenta criptografia intermitente, que é o que os garotos legais estão usando enquanto você lê isso. Combinado com o fato de ser escrito em Go, a velocidade é incomparável”, descreve um anúncio do Qyick em fóruns de hackers.
O ransomware Agenda oferece criptografia intermitente como uma configuração opcional e configurável. A implementação de criptografia intermitente do BlackCat também oferece opções de configuração aos operadores afiliados na forma de vários padrões de salto de byte. Por exemplo, o malware pode criptografar apenas os primeiros bytes de um arquivo, depois seguir um padrão de pontos e uma porcentagem de blocos de arquivos, além de também possuir um modo “automático” que combina vários outros modos para um resultado mais emaranhado.
O recente surgimento do ransomware PLAY por meio de um ataque de alto nível contra o judiciário argentino em Córdoba também ganhou destaque pela rapidez da criptografia intermitente. O PLAY não oferece opções de configuração — ele apenas divide o arquivo em duas, três ou cinco partes, dependendo do tamanho do arquivo, e então criptografa todas as outras partes.
Por fim, Black Basta, um dos mais populares no mundo do cibercrime no momento, também não oferece aos operadores afiliados a opção de escolher entre os modos, pois sua linhagem decide o que fazer com base no tamanho do arquivo.
A criptografia intermitente parece ter vantagens significativas e praticamente nenhuma desvantagem, portanto, os analistas de segurança esperam que mais gangues de ransomware adotem essa abordagem em breve.
FONTE: CISO ADVISOR