Még többet, még gyorsabban

2022. szeptember 13. 18:08 - Csizmazia Darab István [Rambo]

Lassan már a sztahanovista mozgalmat idézi az a fejlődés, amit a lassan tíz éves ransomware pályaíve befut. A kezdeti erős egyedi titkosításhoz társult doxing és büntető DDoS mellett folyamatosan igyekeztek a bűnözök az elkódolás folyamatát is gyorsítani. Jelentjük, ismét sikerült.

Pár hónapja volt egy olyan posztunk, amelyben a nevesebb zsarolóvírus családok titkosítási sebességét hasonlították össze.

Az akkori élmezőny már a márciusi mérések alapján is villámgyorsnak nevezhető tempót volt képest felmutatni: a győztes LockBit egy 53GB méretű válogatott teszt adatcsomaggal - benne 98 ezer pdf, doc, xls, és hasonló tipikus Office és egyéb felhasználói állománnyal - mindössze 5 perc 50 másodperc alatt volt képest leszámolni.

Most pedig arról lehet olvasni, hogy az újabb innováció az úgynevezett szakaszos titkosítás lett. A ransomware kártevő itt már nem a teljes fájlt, hanem "csak" például minden második 16 byte-ot kódol el, így ezzel egyrészt fele annyi idő alatt végez, másrészt az enyhébb titkosítási folyamat miatt az automatizált védelmi eszközök kevésbé intenzív I/O műveleteket észlelnek, így nagyobb eséllyel tudnak észrevétlenek maradni.

De a szakaszolás tetszés szerint beállítható, lehet egy állomány minden x-edik byte-ját titkosítani, kihagyva eközben tetszőleges y bájtot, lehet csak a fájl első x byte-ját legyalulni, illetve kihagyható az elkódolásból bárhol bármekkora megadott GAP is.

A SentinelLabs jelentése szerint a 2021-ben a LockFile által bevezetett gyakorlatot immár tömegesen további bűnözői csapatok is átvették, így a Black Basta, az ALPHV (BlackCat), a PLAY, az Agenda és a Qyick is a követők közé sorolt be. A szakaszos titkosítási funkciókat beépítve az általuk kínált RaaS (Ransomware as a Service) üzleti modellbe sokkal hatékonyabb károkozásra lettek képesek a gyorsaság fokozásával.

Az újabb és bonyolultabb technika elterjedésével az ingyenesen elérhető helyreállító segédprogramoknak is fel van adva ezzel a lecke.

A Bleeping Computer véleménye szerint a szakaszos titkosításnak a ransomware bandák számára csak előnyei vannak, valódi hátrányok nélkül.

Még belegondolni is rossz, hogy ha a korábbi győztes LockBit bevezeti az újítást, a versenytársakhoz 20, 30, 50, 90 perces eredményeihez képesti 5 perc még jobban lerövidülve milyen eszeveszett gyors pusztítást lehet képes okozni a céges hálózatokban.

1 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

süti beállítások módosítása