Forskare vid Sentinel Labs har noterat ett mönster av antagande av ny krypteringsteknik av ransomware-grupper – kallad intermittent kryptering – vilket kan göra deras kampanj mer framgångsrik.
Vid adoption är skadlig programvara från ransomware-grupper inställd för att kryptera endast delar av riktade filer, vilket minskar krypteringstiden – samtidigt som filerna blir oanvändbara med halv korruption och dekrypteras endast med en specifik nyckel. Med flera fördelar varnar forskare för att fler ransomware-grupper kan anta dem för bättre verksamhet.
Intermittent krypteringsteknik
Med antivirusprogramvaran som höjer sin teknik för att upptäcka skadliga aktiviteter bättre, förbättrar hotaktörer, särskilt grupperna för ransomware, sig själva också i spelet.
I denna strävan, Sentinel Labs forskare har upptäckt det flera ransomware-grupper antar en ny teknik som kallas intermittent kryptering som skulle göra deras krypteringsprocess snabbare och bättre omöjlig att upptäcka.
Till exempel kommer alla ransomware-gäng som använder denna teknik bara att kryptera delar av de riktade filerna (säg att hoppa över varannan 16 byte av en fil) i ett offers system. Detta kommer att minska tiden som krävs för full kryptering samtidigt som filerna blir oanvändbara tills de kan återställas med en dekrypteringsnyckel.
Och eftersom den här processen är mildare än den faktiska krypteringsmetoden, kan automatiserade detekteringsverktyg som bara söker efter intensiva fil-IO-operationer passera, vilket flaggar operationen. Började av LockFile i mitten av 2021 noterade forskare att flera andra ransomware-grupper gillar Black Basta, ALPHV (BlackCat), PLAY, Agenda, och Qyick har redan antagit detta.
Och eftersom denna intermittenta kryptering är mycket sofistikerad med väldigt få nackdelar, kan fler ransomware-grupper lägga till detta till sin skadliga programvara. Detta kan också användas som en av de många nischerna för att attrahera affiliates av ransomware-grupper.
Just nu har LockBit den snabbaste krypteringsprocessen med sin inställda algoritm. Och om de använder den här tekniken kan den totala krypteringstiden för offrets filer minskas till minuter! Även om det måste göras ordentligt för att tillgodose förväntade resultat.