Все по-голям брой групи за рансъмуер приемат нова тактика, която им помага да криптират по-бързо системите на своите жертви, като същевременно намаляват шансовете да бъдат открити и спрени.

Тази тактика се нарича частично или прекъснато  криптиране и се състои в криптиране само на части от съдържанието на целевите файлове, което пак би направило данните невъзстановими без използване на валиден дешифратор+ключ.

Например, чрез пропускане на всеки следващи 16 байта от файл, процесът на криптиране отнема почти половината от времето, необходимо за пълно криптиране, но все пак заключва съдържанието завинаги.

Освен това, тъй като криптирането е по-меко, автоматизираните инструменти за откриване, които разчитат на откриване на признаци на проблем под формата на интензивни файлови IO операции, е по-вероятно да се провалят.

„Какво използват готините типове“

SentinelLabs публикува доклад, разглеждащ тенденция, започната от LockFile в средата на 2021г. и сега възприета от такива като Black Basta, ALPHV (BlackCat), PLAY, Agenda и Qyick.

Тези групи активно популяризират наличието на функции за частично криптиране в тяхното семейство рансъмуер, за да привлекат повече филиали да се присъединят към операцията RaaS.

„Забележително е, че Qyick разполага с частично

 

криптиране, което готините типове използват, докато четете това. В комбинация с факта, че е написано в Go, скоростта е несравнима“, изтъква реклама на Qyick във форуми за хакване.

Qyick promoting its partial encryption features on forums

Изгледи за развитие на  частично криптиране

Прекъснатото криптиране изглежда има значителни предимства и почти никакви недостатъци, така че анализаторите по сигурността очакват скоро повече банди за рансъмуер да възприемат този подход.

Щамът на LockBit вече е най-бързият по отношение на скоростта на криптиране, така че ако бандата възприеме техниката на частично криптиране,времетраенето на нейните удари ще бъде намалена до няколко минути.

Разбира се, криптирането е сложен въпрос и внедряването на частично криптиране трябва да се извърши правилно, за да се гарантира, че няма да доведе до лесно възстановяване на данни от жертвите.

В момента внедряването на BlackCat е най-усъвършенстваното, докато това на Qyick остава неизвестно, тъй като анализаторите на зловреден софтуер все още не са анализирали проби от новия RaaS.

Снимка и изходна информация: SentinelLabs

Източник: По материали от Интернет

Подобни публикации

15 юли 2025

Критични уязвимости в над 240 модела дънни плат...

Изследователи по фърмуерна сигурност алармираха, че десетки модели ...
15 юли 2025

Американски дипломати предупредени за ИИ фалшиф...

Държавният департамент на САЩ предупреди всички американски посолст...

Ще останат ли смартфоните в миналото?

С разширяването на възможностите на изкуствения интелект и стремежа...
14 юли 2025

Злонамерено разширение за Cursor AI IDE доведе ...

Фалшиво разширение за средата за разработка Cursor AI IDE, базирана...
14 юли 2025

Актуализация за Windows 10 нарушава функцията з...

След инсталиране на юлската актуализация KB5062554 за Windows 10, п...
14 юли 2025

Google Gemini податлив на скрити фишинг атаки ч...

Изследване, представено чрез програмата за уязвимости 0din на Mozil...

Защо традиционният HAZOP не е достатъчен

HAZOP (Hazard and Operability Study) е утвърден метод за идентифици...
Бъдете социални
Още по темата
11/07/2025

Руски баскетболист арестува...

Руският професионален баскетболист Даниил Касаткин бе...
10/07/2025

Ingram Micro започна поетап...

Ingram Micro, глобален дистрибутор на ИТ...
09/07/2025

M&S потвърди, че е жерт...

Marks & Spencer (M&S) потвърди, че...
Последно добавени
15/07/2025

Критични уязвимости в над 2...

Изследователи по фърмуерна сигурност алармираха, че...
15/07/2025

Американски дипломати преду...

Държавният департамент на САЩ предупреди всички...
15/07/2025

Ще останат ли смартфоните в...

С разширяването на възможностите на изкуствения...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!