Группы вымогателей стали использовать новую тактику, которая помогает им быстрее шифровать системы своих жертв, снижая при этом шансы быть обнаруженными.
Эта тактика называется прерывистым В криптографии шифрование — процесс кодирования информации или конфиденциальных данных таким образом, чтобы доступ к ним могли получить только авторизованные стороны.
» data-html=»true» data-original-title=»Шифрование»>шифрованием и состоит в шифровании только части целевых файлов, например, пропуская каждые 16 байт файла, процесс шифрования занимает почти половину времени, необходимого для полного шифрования, но при этом блокирует содержимое навсегда.
Кроме того, поскольку шифрование прерывистое, автоматические инструменты обнаружения, которые полагаются на интенсивные операции ввода-вывода файлов, не смогут обнаружить вредоносную активность.
SentinelLabs опубликовала отчет , в котором изучается тактика, начатая LockFile в середине 2021 года, и уже используется группировками Black Basta, ALPHV (BlackCat), PLAY, Agenda и Qyick. Эти группы активно продвигают функцию прерывистого шифрования в своих Программа-вымогатель как услуга (Ransomware-as-a-Service, RaaS) — это бизнес-модель, при которой программа-вымогатель сдается в аренду киберпреступникам.
Разработчик вымогательского ПО предоставляет готовый код шифровальщика другим хакерам. Клиент арендует код шифровальщика у его автора, настраивает его под себя, а затем использует в атаках по своему усмотрению.
В Raas-модели разработчик программы-вымогателя забирает себе небольшой процент от выкупа жертвы, а большая часть средств достается атакующему.
» data-html=»true» data-original-title=»RaaS»>RaaS-программах.
Программа-вымогатель Agenda предлагает прерывистое шифрование в качестве дополнительного и настраиваемого параметра. 3 возможных режима частичного шифрования:
- skip-step [skip: N, step: Y] — Шифровать каждые Y Мб файла, пропуская N Мб;
- fast [f:N] — Зашифровать первые N Мб файла;
- percent [n: N; p:P] — шифровать каждые N Мб файла, пропуская P Мб, где P равно P% от общего размера файла.
Реализация прерывистого шифрования в BlackCat также предоставляет операторам возможность выбора конфигурации в виде различных шаблонов пропуска байтов. Например, вредоносное ПО может:
- шифровать только первые байты файла;
- следовать точечному шаблону;
- заблокировать определенный процент файлов;
- работать в автоматическом режиме, объединяющим несколько режимов для получения более запутанного результата.
Недавняя атака программы-вымогателя PLAY на аргентинскую судебную систему также была проведена с помощью прерывистого шифрования. PLAY разбивает файл на 2, 3 или 5 фрагментов, в зависимости от размера файла, а затем шифрует каждый оставшийся фрагмент.
Группировка Black Basta шифрует все содержимое небольших файлов размером до 704 байт. Для файлов размером от 704 байт до 4 Кб он шифрует 64 байта и пропускает 192 байта между ними. Если размер файла превышает 4 КБ, Black Basta уменьшает размер нетронутых интервалов до 128 байт, в то время как размер зашифрованной части остается равным 64 байтам.
Прерывистое шифрование имеет значительные преимущества и практически не имеет недостатков, поэтому аналитики безопасности ожидают, что в ближайшее время этот подход будут использовать более количество группировок.
Штамм LockBit уже является лидером в скорости шифрования . И техника прерывистого шифрования сократит продолжительность атаки LockBit до пары минут.