Ransomware: nuova tattica di crittografia parziale

Ransomware: nuova tattica di crittografia parziale

Per evitare la rilevazione da parte delle soluzioni di sicurezza, diversi ransomware applicano la crittografia intermittente o parziale ai file.
Per evitare la rilevazione da parte delle soluzioni di sicurezza, diversi ransomware applicano la crittografia intermittente o parziale ai file.

I ricercatori di SentinelOne hanno rilevato l’uso crescente di una nuova tattica che i cybercriminali sfruttano per evitare la rilevazione del ransomware. Invece di cifrare completamente tutti i file viene adottata la crittografia intermittente o parziale. Ciò velocizza l’operazione, impedendo comunque l’accesso ai dati. In ogni caso è sempre consigliata l’installazione di una soluzione di sicurezza per limitare i rischi.

Cambia l’uso della crittografia

L’uso della nuova tattica è stato rilevato per la prima a metà 2021 durante un attacco effettuato con il ransomware LockFile. Recentemente è stata adottata dai ransomware Qyick, Agenda, BlackCat (ALPHV), PLAY e Black Basta. I malware vengono solitamente offerti in abbonamento (Ransomware-as-a-Service) e gli autori permettono di scegliere i parametri di configurazione desiderati, tra cui la modalità di crittografia.

Ad esempio, nel caso di Agenda è possibile cifrare ogni X MB del file, saltando Y MB oppure cifrare i primi X MB. Il noto BlackCat offre invece sei modalità di crittografia, tra cui quella automatica. Inoltre può sfruttare l’accelerazione hardware del computer della vittima per applicare l’algoritmo AES.

Black Basta sceglie il tipo di crittografia in base alla dimensione del file. Se è inferiore a 740 byte viene usata la crittografia completa. Se la dimensione è compresa tra 704 byte e 4 KB, il ransomware cifra ogni 64 byte saltando i 192 byte successivi. Infine, se la dimensione è superiore a 4 KB, l’intervallo scende a 128 byte.

L’uso della crittografia intermittente o parziale consente di raggiungere due obiettivi. Il primo è la velocità di esecuzione. Il secondo è la minore probabilità di essere rilevato, in quanto il numero ridotto delle operazioni di I/O sui file non viene identificato come sospetto dai tool di analisi statistica.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 12 set 2022
Link copiato negli appunti