Lassan már a sztahanovista mozgalmat idézi az a fejlődés, amit a lassan tíz éves ransomware pályaíve befut. A kezdeti erős egyedi titkosításhoz társult doxing és büntető DDoS mellett folyamatosan igyekeztek a bűnözök az elkódolás folyamatát is gyorsítani. Jelentjük, ismét sikerült.
Pár hónapja volt egy olyan posztunk, amelyben a nevesebb zsarolóvírus családok titkosítási sebességét hasonlították össze.
Az akkori élmezőny már a márciusi mérések alapján is villámgyorsnak nevezhető tempót volt képest felmutatni: a győztes LockBit egy 53GB méretű válogatott teszt adatcsomaggal - benne 98 ezer pdf, doc, xls, és hasonló tipikus Office és egyéb felhasználói állománnyal - mindössze 5 perc 50 másodperc alatt volt képest leszámolni.
Most pedig arról lehet olvasni, hogy az újabb innováció az úgynevezett szakaszos titkosítás lett. A ransomware kártevő itt már nem a teljes fájlt, hanem "csak" például minden második 16 byte-ot kódol el, így ezzel egyrészt fele annyi idő alatt végez, másrészt az enyhébb titkosítási folyamat miatt az automatizált védelmi eszközök kevésbé intenzív I/O műveleteket észlelnek, így nagyobb eséllyel tudnak észrevétlenek maradni.
De a szakaszolás tetszés szerint beállítható, lehet egy állomány minden x-edik byte-ját titkosítani, kihagyva eközben tetszőleges y bájtot, lehet csak a fájl első x byte-ját legyalulni, illetve kihagyható az elkódolásból bárhol bármekkora megadott GAP is.
A SentinelLabs jelentése szerint a 2021-ben a LockFile által bevezetett gyakorlatot immár tömegesen további bűnözői csapatok is átvették, így a Black Basta, az ALPHV (BlackCat), a PLAY, az Agenda és a Qyick is a követők közé sorolt be. A szakaszos titkosítási funkciókat beépítve az általuk kínált RaaS (Ransomware as a Service) üzleti modellbe sokkal hatékonyabb károkozásra lettek képesek a gyorsaság fokozásával.
Az újabb és bonyolultabb technika elterjedésével az ingyenesen elérhető helyreállító segédprogramoknak is fel van adva ezzel a lecke.
A Bleeping Computer véleménye szerint a szakaszos titkosításnak a ransomware bandák számára csak előnyei vannak, valódi hátrányok nélkül.
Még belegondolni is rossz, hogy ha a korábbi győztes LockBit bevezeti az újítást, a versenytársakhoz 20, 30, 50, 90 perces eredményeihez képesti 5 perc még jobban lerövidülve milyen eszeveszett gyors pusztítást lehet képes okozni a céges hálózatokban.
_kolléga_ · https://radicspeter.hu 2022.09.16. 22:33:02