Рансъмуер банди преминават към частично криптиране

Picture of Здравко Боджов
Здравко Боджов
Aрхив | Зловреден код

Все по-голям брой групи за рансъмуер приемат нова тактика, която им помага да криптират по-бързо системите на своите жертви, като същевременно намаляват шансовете да бъдат открити и спрени.

Тази тактика се нарича частично или прекъснато  криптиране и се състои в криптиране само на части от съдържанието на целевите файлове, което пак би направило данните невъзстановими без използване на валиден дешифратор+ключ.

Например, чрез пропускане на всеки следващи 16 байта от файл, процесът на криптиране отнема почти половината от времето, необходимо за пълно криптиране, но все пак заключва съдържанието завинаги.

Освен това, тъй като криптирането е по-меко, автоматизираните инструменти за откриване, които разчитат на откриване на признаци на проблем под формата на интензивни файлови IO операции, е по-вероятно да се провалят.

„Какво използват готините типове“

SentinelLabs публикува доклад, разглеждащ тенденция, започната от LockFile в средата на 2021г. и сега възприета от такива като Black Basta, ALPHV (BlackCat), PLAY, Agenda и Qyick.

Тези групи активно популяризират наличието на функции за частично криптиране в тяхното семейство рансъмуер, за да привлекат повече филиали да се присъединят към операцията RaaS.

„Забележително е, че Qyick разполага с частично

 

криптиране, което готините типове използват, докато четете това. В комбинация с факта, че е написано в Go, скоростта е несравнима“, изтъква реклама на Qyick във форуми за хакване.

Qyick promoting its partial encryption features on forums

Изгледи за развитие на  частично криптиране

Прекъснатото криптиране изглежда има значителни предимства и почти никакви недостатъци, така че анализаторите по сигурността очакват скоро повече банди за рансъмуер да възприемат този подход.

Щамът на LockBit вече е най-бързият по отношение на скоростта на криптиране, така че ако бандата възприеме техниката на частично криптиране,времетраенето на нейните удари ще бъде намалена до няколко минути.

Разбира се, криптирането е сложен въпрос и внедряването на частично криптиране трябва да се извърши правилно, за да се гарантира, че няма да доведе до лесно възстановяване на данни от жертвите.

В момента внедряването на BlackCat е най-усъвършенстваното, докато това на Qyick остава неизвестно, тъй като анализаторите на зловреден софтуер все още не са анализирали проби от новия RaaS.

Снимка и изходна информация: SentinelLabs

#рансъмуер
По материали от Интернет

Подобни

Jenkins plugin на Checkmarx разпространявал malware след supply-chain атака
12.05.2026
IMG-MC-malwareprotectiontest
MuddyWater прикрива кибершпионаж зад фалшива ransomware операция
12.05.2026
Iran-fingerprint
Злонамерена кампания използва Google Ads и Claude.ai чатове
11.05.2026
cybersecurity-6949298_1280
Малуер в Hugging Face се представя за OpenAI проект и сее infostealer
11.05.2026
Img_Blog_Malware_Trends
TCLBanker - нов банков троянец се разпространява чрез фалшив Logitech AI инсталатор
11.05.2026
botnet-malware
PCPJack - нов зловреден фреймуърк отвлича cloud инфраструктури
11.05.2026
Cloud_John_Williams_RF_Alamy

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Bitdefender пусна безплатен инструмент за проверка на телефонни номера
12.12.2025
telephoneAlamy