O ransomware LockFile surgiu em julho 2021. O ransomware tem explorado as vulnerabilidades do ProxyShell em servidores Microsoft Exchange em seus ataques. As falhas são implantadas “para violar os alvos sem correção, servidores Microsoft Exchange locais, seguido por um ataque de retransmissão PetitPotam NTLM para assumir o controle do domínio,”De acordo com Mark Loman da Sophos.
O que é mais notável sobre este ransomware, Contudo, é sua criptografia. A criptografia intermitente não foi usada por nenhum ransomware conhecido até agora, e foi escolhido pelos atores da ameaça para fins de evasão.
Explicação da criptografia intermitente do LockFile Ransomware
Este recurso específico é o que define LockFile além de outras famílias de ransomware. Como funciona a criptografia intermitente? O criptovírus criptografa cada 16 bytes de um arquivo em uma tentativa de evitar a detecção por soluções de proteção de ransomware. Pelo visto, um documento criptografado desta forma parece muito semelhante ao original criptografado.
A evasão é possível nos casos em que as ferramentas anti-ransomware usam o chamado "qui-quadrado (chi ^ 2)" análise, alterando a forma estatística como esta análise é feita e, portanto, confundindo-a. O que isto significa?
“Um arquivo de texto não criptografado de 481 KB (dizer, um livro) tem uma pontuação de chi ^ 2 de 3850061. Se o documento foi criptografado por DarkSide ransomware, teria uma pontuação de chi ^ 2 de 334 - o que é uma indicação clara de que o documento foi criptografado. Se o mesmo documento for criptografado por LockFile ransomware, ainda teria uma pontuação de chi ^ 2 significativamente alta de 1789811 ”, explicou Loman.
Assim que todos os arquivos forem criptografados no sistema de destino, o ransomware evapora sem deixar vestígios, excluindo-se com um comando PING. Em outras palavras, LockFile não deixa um binário de ransomware para trás, evitando que respondentes a incidentes e soluções de antivírus o encontrem.
Também é digno de nota que o ransomware não precisa se conectar a um servidor de comando e controle, tornando seu comportamento invisível ainda mais sofisticado. “Isso significa que ele pode criptografar dados em máquinas que não têm acesso à internet,” Loman concluiu.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga:
Obrigado por compartilhar informações valiosas, para Ransomware usa criptografia intermitente exclusiva.
Obrigado por compartilhar..