Le ransomware LockFile est apparu en juillet 2021. Le ransomware a exploité les vulnérabilités ProxyShell dans les serveurs Microsoft Exchange dans ses attaques. Les failles sont déployées « pour violer des cibles avec des, sur site serveurs Microsoft Exchange, suivi d'une attaque par relais PetitPotam NTLM pour prendre le contrôle du domaine,» selon Mark Loman de Sophos.
Ce qui est le plus remarquable à propos de ce ransomware, cependant, est son cryptage. Le cryptage intermittent n'a été utilisé par aucun ransomware connu jusqu'à présent, et il a été choisi par les acteurs de la menace à des fins d'évasion.
Le cryptage intermittent LockFile Ransomware expliqué
Cette caractéristique particulière est ce qui définit Fichier de verrouillage en dehors des autres familles de ransomwares. Comment fonctionne le cryptage intermittent? Le cryptovirus crypte chaque 16 octets d'un fichier pour tenter d'échapper à la détection par les solutions de protection contre les ransomwares. Apparemment, un document crypté de cette manière ressemble beaucoup à l'original crypté.
L'évasion est possible dans les cas où les outils anti-ransomware utilisent ce qu'on appelle le « chi carré (chi^2)" une analyse, altérer la manière statistique de faire cette analyse et donc la confondre. Qu'est-ce que cela signifie?
« Un fichier texte non crypté de 481 KB (dire, un livre) a un score chi^2 de 3850061. Si le document a été crypté par le ransomware DarkSide, il aurait un score chi^2 de 334 – ce qui indique clairement que le document a été crypté. Si le même document est crypté par le ransomware LockFile, il aurait toujours un score chi^2 significativement élevé de 1789811 », a expliqué Loman.
Une fois tous les fichiers cryptés sur le système ciblé, le ransomware s'évapore sans laisser de trace, se supprimer avec une commande PING. En d'autres termes, LockFile ne laisse pas derrière lui un binaire de ransomware, empêchant ainsi les intervenants en cas d'incident et les solutions antivirus de le trouver.
Il est également à noter que le ransomware n'a pas besoin de se connecter à un serveur de commande et de contrôle, rendant son comportement sous le radar encore plus sophistiqué. « Cela signifie qu'il peut crypter des données sur des machines qui n'ont pas accès à Internet," Loman a conclu.
Merci de partager des informations précieuses, for Ransomware utilise un cryptage intermittent unique.
Merci pour le partage..