Nová rodina ransomvéru, ktorá sa objavila minulý mesiac, prichádza s vlastnou taškou trikov, ako obísť ochranu proti ransomvéru využitím novej techniky nazývanej „prerušované šifrovanie“.
Operátori ransomvéru s názvom LockFile sa zistili, že zneužívajú nedávno odhalené chyby, ako sú ProxyShell a PetitPotam, na kompromisy. Windows servery a nasadiť malvér na šifrovanie súborov, ktorý zakóduje iba každých 16 bajtov súboru, čím mu dáva možnosť vyhnúť sa obrane proti ransomvéru.
„Čiastočné šifrovanie vo všeobecnosti používajú prevádzkovatelia ransomvéru na urýchlenie procesu šifrovania a videli sme, ako ho implementovali spoločnosti BlackMatter, DarkSide a LockBit. 2.0 ransomware,“ uviedol vo vyhlásení Mark Loman, riaditeľ inžinierstva Sophos. „To, čo odlišuje LockFile od ostatných, je to, že na rozdiel od ostatných nešifruje prvých pár blokov. Namiesto toho LockFile zašifruje každých ďalších 16 bajtov dokumentu.”
“To znamená, že súbor, akým je textový dokument, zostáva čiastočne čitateľný a štatisticky vyzerá ako originál. Tento trik môže byť úspešný proti softvéru na ochranu proti ransomvéru, ktorý sa spolieha na kontrolu obsahu pomocou štatistickej analýzy na zistenie šifrovania,” dodal Loman.
Sophosova analýza LockFile pochádza z artefaktu, ktorý bol nahraný do VirusTotal 22. augusta 2021.
Po uložení malvér tiež podnikne kroky na ukončenie kritických procesov spojených s virtualizačným softvérom a databázami prostredníctvom Windows Management Interface (WMI), predtým ako pristúpite k šifrovaniu dôležitých súborov a objektov a zobrazíte poznámku ransomvéru, ktorá má štylistickú podobnosť s poznámkou LockBit 2.0.
Oznámenie o výkupnom tiež vyzýva obeť, aby kontaktovala konkrétnu e-mailovú adresu „[email protected]“, o ktorej má Sophos podozrenie, že by mohla byť hanlivým odkazom na konkurenčnú ransomvérovú skupinu s názvom Conti.
A čo viac, ransomvér sa po úspešnom zašifrovaní všetkých dokumentov na stroji sám vymaže zo systému, čo znamená, že „neexistuje žiadny binárny ransomvér, ktorý by mohli respondenti incidentov alebo antivírusový softvér nájsť alebo vyčistiť“.
“Posolstvom pre obrancov je, že krajina kybernetických hrozieb sa nikdy nezastaví a protivníci sa rýchlo chopia každej možnej príležitosti alebo nástroja na začatie úspešného útoku,” povedal Loman.
Odhalenie prichádza v čase, keď Federálny úrad pre vyšetrovanie (FBI) USA vydal správu vo formáte Flash, v ktorej podrobne popisuje taktiku novej jednotky Ransomware-as-a-Service (RaaS) známej ako Hive, ktorá pozostáva z niekoľkých aktérov, ktorí na to využívajú viacero mechanizmov. kompromitovať obchodné siete, exfiltrovať údaje a šifrovať údaje v sieťach a pokúsiť sa získať výkupné výmenou za prístup k dešifrovaciemu softvéru.