LockFile Ransomware usa criptografia intermitente de arquivos para evitar detecção

LockFile é a nova família de ransomware que surgiu em julho de 2021 após a descoberta, em abril, das vulnerabilidades do ProxyShell em servidores Microsoft Exchange

Compartilhar:

A Sophos publica hoje uma nova pesquisa chamada “LockFile Ransomware’s Box of Tricks: Intermittent Encryption and Evasion“, que revela como os operadores por trás do ransomware LockFile criptografam pacotes alternativos de 16 bytes em um documento para evitar a detecção.

 

De acordo com os pesquisadores da Sophos, essa nova abordagem, que a companhia está chamando de “criptografia intermitente”, ajuda o ransomware a evitar um alerta vermelho porque o novo método de criptografia é estatisticamente muito semelhante ao original não criptografado. Esta é a primeira vez que os pesquisadores da Sophos viram essa abordagem usada em ransomware.

 

“O que diferencia o LockFile é que, ao contrário dos outros, ele não criptografa os primeiros blocos. Em vez disso, o LockFile criptografa todos os outros 16 bytes de um documento. Isso significa que um arquivo, como um documento de texto, permanece parcialmente legível e se parece estatisticamente com o original. Esse truque pode ser bem-sucedido contra software de detecção de ransomware que depende da inspeção de conteúdo usando análise estatística para detectar criptografia”, comenta Mark Loman, Diretor de Engenharia da Sophos.

 

“O ransomware LockFile aparentemente surgiu do nada e os operadores por trás dele não hesitaram em explorar vulnerabilidades recém-publicadas e corrigidas – dos bugs do ProxyShell à prova de conceito PetitPotam publicada recentemente. Eles também parecem ansiosos para aproveitar sua nova abordagem de criptografar arquivos intermitentemente para garantir que seus ataques funcionem”, completa executivo.

 

Outras descobertas importantes detalhadas na nova pesquisa da Sophos incluem:

 

• O ransomware LockFile usa um processo relativamente incomum conhecido como “entrada/saída (E/S) mapeada na memória” para criptografar um arquivo. Esta técnica permite que o ransomware criptografe documentos que estão armazenados em cache na memória do computador, sem criar tráfego telemático de entrada/saída adicional que as tecnologias de detecção irão identificar. Esta técnica também foi usada pelos ransomwares WastedLocker e Maze;

 

• Em linha com outro ransomware dirigido por humanos, o LockFile não precisa se conectar a um centro de comando e controle para se comunicar. Isso reduz o tráfego e ajuda a manter a atividade de ataque sob o radar de detecção pelo maior tempo possível. Depois que o ransomware criptografa todos os documentos da máquina, ele se exclui. Isso significa que, após o ataque, não há binário de ransomware para que os respondentes a incidentes ou software de proteção de endpoint encontrem ou limpem;

 

• Como uma técnica adicional, o Lockfile evita criptografar cerca de 800 tipos de arquivos diferentes por extensão, confundindo ainda mais algumas proteções anti-ransomware.

 

 

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Serviços de nuvem oferecem armazenamento e gestão de identidade para trabalho híbrido, mostra organização

Expansão global fortalece soluções integradas de segurança e produtividade em ambiente corporativo;  novos serviços aprimoram o gerenciamento de identidades, o...
Security Report | Overview

Hacker usa agentes de IA para realizar ataque, afirma relatório

Empresa afirma que hacker usou agentes de IA para ataque extenso sem precedentes; Esquema de roubo de dados atingiu a...
Security Report | Overview

Países de língua portuguesa se reúnem para fortalecer cooperação para proteção de dados e privacidade

Países membros da Rede Lusófona de Proteção de Dados aprova criação de grupos de trabalho e estabelece agenda comum para...
Security Report | Overview

Phishing reinventa engenharia social para atingir cadeias de suprimento, mostra pesquisa

Estudo mostra que campanha de phishing começa por conversas profissionais e em formulários de contato e evolui para e-mails convincentes,...