Il ransomware LockFile è emerso a luglio 2021. Il ransomware è stato sfruttato le vulnerabilità di ProxyShell nei server Microsoft Exchange nei suoi attacchi. I difetti sono schierati "per violare obiettivi senza patch, server Microsoft Exchange locali, seguito da un attacco relay NTLM PetitPotam per prendere il controllo del dominio,” secondo Mark Loman di Sophos.
Ciò che è più notevole di questo ransomware, tuttavia, è la sua crittografia. Finora la crittografia intermittente non è stata utilizzata da alcun ransomware noto, ed è stato scelto dagli attori della minaccia per scopi di evasione.
Spiegazione della crittografia intermittente del ransomware LockFile
Questa caratteristica particolare è ciò che imposta LockFile a parte altre famiglie di ransomware. Come funziona la crittografia intermittente?? Il criptovirus crittografa ogni 16 byte di un file nel tentativo di eludere il rilevamento da parte delle soluzioni di protezione ransomware. Apparentemente, un documento crittografato in questo modo sembra molto simile all'originale crittografato.
L'evasione è possibile nei casi in cui gli strumenti anti-ransomware utilizzano il cosiddetto “chi-squared (chi^2)"analisi", alterando il modo statistico in cui viene eseguita questa analisi e quindi confondendola. Che cosa significa questo?
“Un file di testo non crittografato di 481 KB (dire, un libro) ha un punteggio chi^2 di 3850061. Se il documento è stato crittografato dal ransomware DarkSide, avrebbe un punteggio chi^2 di 334 – che è una chiara indicazione che il documento è stato crittografato. Se lo stesso documento è crittografato dal ransomware LockFile, avrebbe comunque un punteggio chi^2 significativamente alto di 1789811", ha spiegato Loman.
Una volta che tutti i file sono crittografati sul sistema di destinazione, il ransomware evapora senza lasciare traccia, cancellandosi con un comando PING. In altre parole, LockFile non lascia dietro di sé un binario ransomware, impedendo così ai risponditori di incidenti e alle soluzioni antivirus di trovarlo.
È anche interessante notare che il ransomware non ha bisogno di connettersi a un server di comando e controllo, rendendo il suo comportamento sotto il radar ancora più sofisticato. "Ciò significa che può crittografare i dati su macchine che non hanno accesso a Internet," Loman ha concluso.
Grazie per aver condiviso informazioni preziose, per il ransomware utilizza la crittografia intermittente unica.
Grazie per la condivisione..