Los investigadores de Sentinel Labs han notado un patrón de adopción de una nueva técnica de cifrado por parte de los grupos de ransomware, llamado cifrado intermitente, que puede hacer que su campaña sea más exitosa.
Una vez adoptado, el malware de los grupos de ransomware se ajusta para cifrar solo partes de los archivos específicos, lo que reduce el tiempo de cifrado, al mismo tiempo que inutiliza los archivos con la mitad de la corrupción y solo se pueden descifrar con una clave específica. Con varias ventajas, los investigadores advierten que más grupos de ransomware pueden adoptarlos para mejorar sus operaciones.
Técnica de cifrado intermitente
Con el software antivirus mejorando su tecnología para detectar mejor las actividades maliciosas, los actores de amenazas, especialmente los grupos de ransomware, también se están mejorando en el juego.
En esta búsqueda, Investigadores de Sentinel Labs han detectado que varios grupos de ransomware están adoptando una nueva técnica llamada cifrado intermitente que haría que su proceso de cifrado fuera más rápido y mejor indetectable.
Por ejemplo, cualquier pandilla de ransomware que adopte esta técnica solo encriptará partes de los archivos objetivo (por ejemplo, omitiendo cada 16 bytes de un archivo) en el sistema de la víctima. Esto reducirá el tiempo requerido para el cifrado completo y al mismo tiempo hará que los archivos sean inútiles hasta que se puedan recuperar con una clave de descifrado.
Y dado que este proceso es más suave que el método de encriptación real, las herramientas de detección automatizadas que solo buscan operaciones intensas de E/S de archivos pueden pasar, marcando la operación. Comenzado por Bloquear archivo a mediados de 2021, los investigadores notaron que varios otros grupos de ransomware como Black Basta, ALPHV (BlackCat), PLAY, Agenda, y rápido ya han adoptado esto.
Y dado que este cifrado intermitente es muy sofisticado y tiene muy pocas desventajas, es posible que más grupos de ransomware agreguen esto a su malware. Además, esto se puede usar como uno de los muchos nichos para atraer afiliados por parte de grupos de ransomware.
En este momento, LockBit tiene el proceso de encriptación más rápido con su algoritmo ajustado. ¡Y si adoptan esta técnica, el tiempo total de cifrado de los archivos de la víctima podría reducirse a minutos! Aunque, tiene que hacerse correctamente para atender a los resultados esperados.
