A Sophos publica hoje uma nova pesquisa chamada “LockFile Ransomware’s Box of Tricks: Intermittent Encryption and Evasion“, que revela como os operadores por trás do ransomware LockFile criptografam pacotes alternativos de 16 bytes em um documento para evitar a detecção.
De acordo com os pesquisadores da Sophos, essa nova abordagem, que a companhia está chamando de “criptografia intermitente”, ajuda o ransomware a evitar um alerta vermelho porque o novo método de criptografia é estatisticamente muito semelhante ao original não criptografado. Esta é a primeira vez que os pesquisadores da Sophos viram essa abordagem usada em ransomware.
“O que diferencia o LockFile é que, ao contrário dos outros, ele não criptografa os primeiros blocos. Em vez disso, o LockFile criptografa todos os outros 16 bytes de um documento. Isso significa que um arquivo, como um documento de texto, permanece parcialmente legível e se parece estatisticamente com o original. Esse truque pode ser bem-sucedido contra software de detecção de ransomware que depende da inspeção de conteúdo usando análise estatística para detectar criptografia”, comenta Mark Loman, Diretor de Engenharia da Sophos.
“O ransomware LockFile aparentemente surgiu do nada e os operadores por trás dele não hesitaram em explorar vulnerabilidades recém-publicadas e corrigidas – dos bugs do ProxyShell à prova de conceito PetitPotam publicada recentemente. Eles também parecem ansiosos para aproveitar sua nova abordagem de criptografar arquivos intermitentemente para garantir que seus ataques funcionem”, completa executivo.
Outras descobertas importantes detalhadas na nova pesquisa da Sophos incluem:
• O ransomware LockFile usa um processo relativamente incomum conhecido como “entrada/saída (E/S) mapeada na memória” para criptografar um arquivo. Esta técnica permite que o ransomware criptografe documentos que estão armazenados em cache na memória do computador, sem criar tráfego telemático de entrada/saída adicional que as tecnologias de detecção irão identificar. Esta técnica também foi usada pelos ransomwares WastedLocker e Maze;
• Em linha com outro ransomware dirigido por humanos, o LockFile não precisa se conectar a um centro de comando e controle para se comunicar. Isso reduz o tráfego e ajuda a manter a atividade de ataque sob o radar de detecção pelo maior tempo possível. Depois que o ransomware criptografa todos os documentos da máquina, ele se exclui. Isso significa que, após o ataque, não há binário de ransomware para que os respondentes a incidentes ou software de proteção de endpoint encontrem ou limpem;
• Como uma técnica adicional, o Lockfile evita criptografar cerca de 800 tipos de arquivos diferentes por extensão, confundindo ainda mais algumas proteções anti-ransomware.