Новая тактика шифрования ускоряет взлом в 2 раза

Пн 12 Сентябрь 2022 09:51

Группы вымогателей стали использовать новую тактику, которая помогает им быстрее шифровать системы своих жертв, снижая при этом шансы быть обнаруженными.

Эта тактика называется прерывистым шифрованием и состоит в шифровании только части целевых файлов, например, пропуская каждые 16 байт файла, процесс шифрования занимает почти половину времени, необходимого для полного шифрования, но при этом блокирует содержимое навсегда.

Кроме того, поскольку шифрование прерывистое, автоматические инструменты обнаружения, которые полагаются на интенсивные операции ввода-вывода файлов, не смогут обнаружить вредоносную активность.

SentinelLabs опубликовала отчет , в котором изучается тактика, начатая LockFile в середине 2021 года, и уже используется группировками Black Basta, ALPHV (BlackCat), PLAY, Agenda и Qyick. Эти группы активно продвигают функцию прерывистого шифрования в своих RaaS-программах.

Программа-вымогатель Agenda предлагает прерывистое шифрование в качестве дополнительного и настраиваемого параметра. 3 возможных режима частичного шифрования:

Реализация прерывистого шифрования в BlackCat также предоставляет операторам возможность выбора конфигурации в виде различных шаблонов пропуска байтов. Например, вредоносное ПО может:

Недавняя атака программы-вымогателя PLAY на аргентинскую судебную систему также была проведена с помощью прерывистого шифрования. PLAY разбивает файл на 2, 3 или 5 фрагментов, в зависимости от размера файла, а затем шифрует каждый оставшийся фрагмент.

Группировка Black Basta шифрует все содержимое небольших файлов размером до 704 байт. Для файлов размером от 704 байт до 4 Кб он шифрует 64 байта и пропускает 192 байта между ними. Если размер файла превышает 4 КБ, Black Basta уменьшает размер нетронутых интервалов до 128 байт, в то время как размер зашифрованной части остается равным 64 байтам.

Прерывистое шифрование имеет значительные преимущества и практически не имеет недостатков, поэтому аналитики безопасности ожидают, что в ближайшее время этот подход будут использовать более количество группировок.

Штамм LockBit уже является лидером в скорости шифрования . И техника прерывистого шифрования сократит продолжительность атаки LockBit до пары минут.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 16 лет 253 дня 20 часов 22 минуты 28 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.