I ricercatoris di SentinelOne hanno osservato una nuova tendenza sulla scena del ransomware: la crittografia intermittente o parziale dei file delle vittime per eludere i sistemi di rilevamento e crittografare i file delle vittime più velocemente. Gli sviluppatori di ransomware stanno adottando sempre più questa funzionalità e pubblicizzano intensamente la crittografia intermittente per attirare acquirenti o affiliati.
Gli esperti spiegano che la crittografia intermittente è importante per gli operatori di ransomware sotto due punti di vista:
- Velocità: la crittografia può richiedere molto tempo e il tempo è fondamentale per gli operatori di ransomware in quanto, più velocemente crittografano i file delle vittime, meno è probabile che vengano rilevati e interrotti durante il processo. La crittografia intermittente provoca danni irreparabili in un arco di tempo molto breve.
- Evasione: i sistemi di rilevamento del ransomware possono utilizzare l’analisi statistica per rilevare il funzionamento del ransomware. Tale analisi può valutare l’intensità delle operazioni di I/O dei file o la somiglianza tra una versione nota di un file, che non è stata influenzata dal ransomware, e una versione sospetta modificata e crittografata del file. Contrariamente alla crittografia completa, la crittografia intermittente aiuta a eludere tali analisi mostrando un’intensità significativamente inferiore delle operazioni di I/O dei file e una somiglianza molto maggiore tra le versioni non crittografate e crittografate di un determinato file.
L’uso di questa nuova tattica è stato rilevato a metà del 2021 attraverso il ransomware LockFile, una delle prime grandi famiglie di ransomware a utilizzare la crittografia intermittente per eludere i meccanismi di rilevamento. Da allora un numero crescente di operazioni di ransomware si è unito alla tendenza.
I ricercatori hanno esaminato le diverse famiglie di ransomware recenti che presentano una crittografia intermittente nel tentativo di eludere il rilevamento e la prevenzione: Qyick, Agenda, BlackCat (ALPHV), PLAY e Black Basta. Questi vengono generalmente offerti in abbonamento (Ransomware-as-a-Service) e gli autori permettono di scegliere i parametri di configurazione desiderati, tra cui la modalità di crittografia. Per esempio, nel caso di Agenda è possibile cifrare ogni X MB del file, saltando Y MB oppure cifrare i primi X MB. Il noto BlackCat offre invece sei modalità di crittografia, tra cui quella automatica. Inoltre, può sfruttare l’accelerazione hardware del computer della vittima per applicare l’algoritmo AES. Black Basta sceglie il tipo di crittografia in base alla dimensione del file. Se è inferiore a 740 byte viene usata la crittografia completa. Se la dimensione è compresa tra 704 byte e 4 KB, il ransomware cifra ogni 64 byte saltando i 192 byte successivi. Infine, se la dimensione è superiore a 4 KB, l’intervallo scende a 128 byte.
“La crittografia intermittente è uno strumento molto utile per gli operatori di ransomware. Questo metodo di crittografia aiuta a eludere alcuni meccanismi di rilevamento del ransomware e a crittografare i file delle vittime più velocemente. Dati i vantaggi significativi per gli attori delle minacce e al tempo stesso pratico da implementare, stimiamo che la crittografia intermittente continuerà ad essere adottata da più famiglie di ransomware”, concludono i ricercatori.
https://www.punto-informatico.it/ransomware-nuova-tattica-crittografia-parziale/
