Criptografia intermitente reduz chance de detecção de ataque

Da Redação
11/09/2022

Um número crescente de grupos que operam ransomware passou a adotar a tática de criptografia intermitente para encriptar os sistemas de suas vítimas de forma mais rapidamente e que reduz a chance de ser detectada e interrompida. 

A tática consiste em criptografar apenas partes do conteúdo dos arquivos — o que ainda torna os dados irrecuperáveis —, ​​sem o uso de uma chave de descriptografia válida. Por exemplo, para arquivos entre 704 bytes e 4 KB, ele criptografa 64 bytes e pula 192 bytes entre eles. Ao transpor os 192 bytes de um arquivo, o processo de criptografia leva quase metade do tempo necessário para a criptografia completa, mas ainda assim bloqueia o conteúdo para sempre.

Além disso, como a criptografia é mais “suave”, as ferramentas de detecção automatizadas, que contam com a identificação de sinais de problemas em operações intensas de entrada e saída (I/O) de arquivos, têm maior probabilidade de falhar.

O SentinelLabs, da empresa de cibersegurança SentinelOne, publicou um relatório examinando uma tendência iniciada no ano passado pelo grupo que opera o ransomware LockFile em meados de 2021 e agora adotada por gangues como o Black Basta, ALPHV (BlackCat), PLAY, Agenda e Qyick. Esses grupos promovem ativamente a presença de recursos de criptografia intermitente em suas famílias de ransomware para atrair afiliados para operações de RaaS (ransomware-as-a-service).

Veja isso
Ransomware usa criptografia intermitente para não detecção
EUA criam roteiro para transição para criptografia pós-quântica

“Notavelmente, o Qyick apresenta criptografia intermitente, que é o que os garotos legais estão usando enquanto você lê isso. Combinado com o fato de ser escrito em Go, a velocidade é incomparável”, descreve um anúncio do Qyick em fóruns de hackers.

O ransomware Agenda oferece criptografia intermitente como uma configuração opcional e configurável. A implementação de criptografia intermitente do BlackCat também oferece opções de configuração aos operadores afiliados na forma de vários padrões de salto de byte. Por exemplo, o malware pode criptografar apenas os primeiros bytes de um arquivo, depois seguir um padrão de pontos e uma porcentagem de blocos de arquivos, além de também possuir um modo “automático” que combina vários outros modos para um resultado mais emaranhado.

O recente surgimento do ransomware PLAY por meio de um ataque de alto nível contra o judiciário argentino em Córdoba também ganhou destaque pela rapidez da criptografia intermitente. O PLAY não oferece opções de configuração — ele apenas divide o arquivo em duas, três ou cinco partes, dependendo do tamanho do arquivo, e então criptografa todas as outras partes.

Por fim, Black Basta, um dos mais populares no mundo do cibercrime no momento, também não oferece aos operadores afiliados a opção de escolher entre os modos, pois sua linhagem decide o que fazer com base no tamanho do arquivo. 

A criptografia intermitente parece ter vantagens significativas e praticamente nenhuma desvantagem, portanto, os analistas de segurança esperam que mais gangues de ransomware adotem essa abordagem em breve.

Compartilhar: