Los operadores de ransomware han ideado un nuevo método de encriptación que hace que el bloqueo de archivos sea más rápido y que sea menos probable que los antivirus los detecten. (se abre en una pestaña nueva) y otras soluciones de ciberseguridad, según han descubierto los investigadores.
Según los expertos de SentinelLabs, un número creciente de ransomware (se abre en una pestaña nueva) Los operadores (incluidos Black Basta, BlackCat, PLAY y otros) han comenzado a adoptar un proceso llamado «cifrado intermitente», que cifra los archivos parcialmente, en lugar de completamente.
De esa manera, los archivos aún se vuelven inútiles (a menos que los propietarios obtengan una clave de descifrado), pero el proceso de cifrado lleva mucho menos tiempo, y los investigadores agregan que esperan que más grupos adopten la técnica en el futuro.
Múltiples enfoques
Diferentes grupos abordan el cifrado intermitente de manera diferente. Algunos solo encriptarán los primeros bytes de un archivo. Otros ofrecerán múltiples opciones, dejando que los implementadores de ransomware decidan. Algunos dividirán los archivos en varios fragmentos y cifrarán solo algunos de ellos. Pero cualquiera que sea la opción que elijan, todas son igualmente peligrosas, ya que esta técnica también les ayuda a evitar las herramientas de protección de puntos finales.
Como explican los investigadores, al buscar malware (se abre en una pestaña nueva), las herramientas de detección automatizadas buscan operaciones intensas de E/S de archivos. Como el cifrado intermitente no es tan intenso, a menudo puede pasar desapercibido.
El único inconveniente posible de la técnica es que cifrar parcialmente los archivos podría facilitar que las víctimas los recuperen.
A pesar de que algunos investigadores afirman que el ransomware está perdiendo fuerza debido a que las empresas deciden no pagar y optan por protecciones y copias de seguridad en su lugar, algunos actores de amenazas siguen siendo bastante activos. Solo la semana pasada, se conoció la noticia de que todas las escuelas de Los Ángeles sufrieron un ataque de este tipo, que afectó a 26.000 maestros y 600.000 estudiantes. Atrajo la atención de la propia Casa Blanca, alertando al Departamento de Educación, el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional.
Vía: BleepingComputer (se abre en una pestaña nueva)