Все по-голям брой групи за рансъмуер приемат нова тактика, която им помага да криптират по-бързо системите на своите жертви, като същевременно намаляват шансовете да бъдат открити и спрени.

Тази тактика се нарича частично или прекъснато  криптиране и се състои в криптиране само на части от съдържанието на целевите файлове, което пак би направило данните невъзстановими без използване на валиден дешифратор+ключ.

Например, чрез пропускане на всеки следващи 16 байта от файл, процесът на криптиране отнема почти половината от времето, необходимо за пълно криптиране, но все пак заключва съдържанието завинаги.

Освен това, тъй като криптирането е по-меко, автоматизираните инструменти за откриване, които разчитат на откриване на признаци на проблем под формата на интензивни файлови IO операции, е по-вероятно да се провалят.

„Какво използват готините типове“

SentinelLabs публикува доклад, разглеждащ тенденция, започната от LockFile в средата на 2021г. и сега възприета от такива като Black Basta, ALPHV (BlackCat), PLAY, Agenda и Qyick.

Тези групи активно популяризират наличието на функции за частично криптиране в тяхното семейство рансъмуер, за да привлекат повече филиали да се присъединят към операцията RaaS.

„Забележително е, че Qyick разполага с частично

 

криптиране, което готините типове използват, докато четете това. В комбинация с факта, че е написано в Go, скоростта е несравнима“, изтъква реклама на Qyick във форуми за хакване.

Qyick promoting its partial encryption features on forums

Изгледи за развитие на  частично криптиране

Прекъснатото криптиране изглежда има значителни предимства и почти никакви недостатъци, така че анализаторите по сигурността очакват скоро повече банди за рансъмуер да възприемат този подход.

Щамът на LockBit вече е най-бързият по отношение на скоростта на криптиране, така че ако бандата възприеме техниката на частично криптиране,времетраенето на нейните удари ще бъде намалена до няколко минути.

Разбира се, криптирането е сложен въпрос и внедряването на частично криптиране трябва да се извърши правилно, за да се гарантира, че няма да доведе до лесно възстановяване на данни от жертвите.

В момента внедряването на BlackCat е най-усъвършенстваното, докато това на Qyick остава неизвестно, тъй като анализаторите на зловреден софтуер все още не са анализирали проби от новия RaaS.

Снимка и изходна информация: SentinelLabs

Източник: По материали от Интернет

Подобни публикации

22 януари 2025

Продуктите за сграден контрол на ABB са засегна...

Изследовател твърди, че е открил над 1000 уязвимости в продукти, пр...
22 януари 2025

Над 380 000 долара са изплатени през първия ден...

Инициативата Zero Day Initiative (ZDI) на Trend Micro обяви резулта...
22 януари 2025

Бомбени заплахи в училища от цяла България

Десетки училища в цялата страна получихабомбени заплахи.. По първон...
22 януари 2025

Хиперволуметричните DDoS атаки зачестяват

Най-голямата до момента разпределена атака за отказ на услуга (DDoS...
22 януари 2025

Тръмп уволнява Съвета за киберсигурност

В писмо, изпратено днес, изпълняващият длъжността секретар на Минис...
22 януари 2025

Ботнетът Murdoc, вариант на Mirai, експлоатира ...

Изследователи в областта на киберсигурността предупредиха за нова ш...
22 януари 2025

13 000 рутера MikroTik от цял свят са превзети ...

Глобална мрежа от около 13 000 отвлечени маршрутизатора Mikrotik е ...
21 януари 2025

ИИ в киберсигурността: 20 години иновации

Изкуственият интелект се превърна в ключов фактор в много сектори, ...
Бъдете социални
Още по темата
22/01/2025

13 000 рутера MikroTik от ц...

Глобална мрежа от около 13 000...
21/01/2025

Злоупотреба с услугите на M...

Наблюдавани са две отделни заплахи, които...
21/01/2025

Нарушаване на сигурността н...

Базираният в Калифорния гигант в областта...
Последно добавени
22/01/2025

Продуктите за сграден контр...

Изследовател твърди, че е открил над...
22/01/2025

Над 380 000 долара са изпла...

Инициативата Zero Day Initiative (ZDI) на...
22/01/2025

Бомбени заплахи в училища о...

Десетки училища в цялата страна получихабомбени...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!