De LockFile-ransomware verscheen in juli 2021. De ransomware is misbruikt de ProxyShell-kwetsbaarheden in Microsoft Exchange-servers in zijn aanvallen. De fouten worden ingezet "om doelen te doorbreken met niet-gepatchte", on-premises Microsoft Exchange-servers, gevolgd door een PetitPotam NTLM-relay-aanval om de controle over het domein te grijpen,” volgens Sophos’ Mark Loman.
Wat vooral opvalt aan deze ransomware, echter, is de encryptie ervan?. Intermitterende versleuteling is tot nu toe door geen enkele bekende ransomware gebruikt, en het is door de dreigingsactoren gekozen voor ontwijkingsdoeleinden.
LockFile Ransomware Intermitterende versleuteling uitgelegd
Deze specifieke functie is wat sets LockFile afgezien van andere ransomware-families. Hoe werkt intermitterende versleuteling?? Het cryptovirus versleutelt elke 16 bytes van een bestand in een poging om detectie door ransomware-beveiligingsoplossingen te omzeilen. Blijkbaar, een op deze manier versleuteld document lijkt erg op het versleutelde origineel.
Ontduiking is mogelijk in gevallen waarin anti-ransomware-tools de zogenaamde "chi-kwadraat" gebruiken (chi^2)” analyse, het veranderen van de statistische manier waarop deze analyse wordt gedaan en dus verwarrend. Wat betekent dit?
“Een niet-versleuteld tekstbestand van 481 KB (zeg, een boek) heeft een chi^2-score van 3850061. Als het document is versleuteld door DarkSide ransomware, het zou een chi^2-score van hebben 334 – wat een duidelijke indicatie is dat het document is versleuteld. Als hetzelfde document is versleuteld door LockFile ransomware, het zou nog steeds een aanzienlijk hoge chi ^ 2-score van 1789811 hebben, "legde Loman uit.
Zodra alle bestanden zijn gecodeerd op het beoogde systeem, de ransomware verdampt en laat geen spoor achter, zichzelf verwijderen met een PING-commando. Met andere woorden, LockFile laat geen ransomware-binary achter, waardoor incidenten en antivirusoplossingen het niet kunnen vinden.
Het is ook opmerkelijk dat de ransomware geen verbinding hoeft te maken met een command-and-control-server, waardoor het gedrag onder de radar nog geavanceerder wordt. “Dit betekent dat het gegevens kan versleutelen op machines die geen internettoegang hebben," Loman concludeerde:.
Bedankt voor het delen van waardevolle informatie, voor Ransomware Maakt gebruik van unieke intermitterende versleuteling.
Bedankt voor het delen..