Кибервымогатели переходят на новое шифрование: быстрое, экономное. Восстановить данные все так же нельзя

- КиТ :: Будь в СЕТИ!

Всё большее количество вымогательских группировок начинают использовать новый метод «дискретного» шифрования данных: шифруется только определённая порция файлов, процесс проходит быстрее и малозаметнее, а восстановить данные без ключа невозможно всё равно.

Избирательное действие

Сразу несколько вымогательских группировок стали использовать новый метод шифрования, позволяющий блокировать доступ к данным намного быстрее без ущерба для «эффективности». Более того, новый метод обеспечивает дополнительную скрытность процесса шифрования от автоматических средств обнаружения.

Суть методики состоит в том, что шифруется не всё содержимое каждого отдельного файла, а лишь часть - пропускаются каждые 16 байтов. В результате шифрование занимает вдвое меньше времени, а интенсивность ввода-вывода, на которую и реагируют некоторые автоматизированные средства обнаружения шифровальщиков, оказывается недостаточно высокой, чтобы вызвать реакцию защитных средств.

По данным экспертов компании SentinelLabs, новый метод начала в 2021 г. использовать группировка LockFile. С тех пор его переняли Black Basta, ALPHV (BlackCat), PLAY, Agenda и Qyick. О последнем шифровальщике известно очень немногое - проанализировать его сэмплы экспертам по информбезопасности пока не удалось.

Метод «дискретного шифрования» уже стал одним из рекламируемых преимуществ, с помощью которого группировки, работающие по модели RaaS (т.е. сдающие шифровальщик в аренду) привлекают новых «партнёров».

Режим на выбор

Злоумышленники даже позволяют выбирать, какую часть каждого файла шифровать, сколько байтов пропускать, в каком порядке и так далее. Существует также вариант шифрования вразнобой, когда комбинируются сразу несколько методов, - чтение файла всё равно оказывается невозможным без декриптора и ключа.

Одна из недавно появившихся шифровальных группировок PLAY использовала дискретное шифрование при атаке на госорганы одной из областей Аргентины, и успех атаки был обусловлен в немалой степени именно той скоростью, с которой шифровальщик отработал.

Сам по себе этот шифровальщик разбивает файл на два, три или пять фрагментов и шифрует каждый второй.

В свою очередь, Black Basta производит шифрование разными методами, в зависимости от размера файлов. Самые мелкие (меньше 704 байт) шифруются полностью, в файлах размером от 704 байт до 4 килобайт шифруются по 64 байта через каждые 192 байта, для более крупных файлов шаг пропуска составляет 128 байт.

«Совершенно справедливые выводы, - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. - Скорость - один из важных факторов успеха атаки шифровальщика, и если есть способ радикально ускорить процесс по сравнению с более «традиционными» методами, злоумышленники, разумеется, за него уцепятся. И совершенно не важно, какая часть файла зашифрована в итоге - восстановить данные без ключа невозможно всё равно».

ПодпискаБудь в СЕТИ! Новости социальных сетей - всегда актуальное
 
Группы: ВК | OK | Tg