LockFile Ransomware usa criptografia intermitente de arquivos para evitar detecção

LockFile é a nova família de ransomware que surgiu em julho de 2021 após a descoberta, em abril, das vulnerabilidades do ProxyShell em servidores Microsoft Exchange

Compartilhar:

A Sophos publica hoje uma nova pesquisa chamada “LockFile Ransomware’s Box of Tricks: Intermittent Encryption and Evasion“, que revela como os operadores por trás do ransomware LockFile criptografam pacotes alternativos de 16 bytes em um documento para evitar a detecção.

 

De acordo com os pesquisadores da Sophos, essa nova abordagem, que a companhia está chamando de “criptografia intermitente”, ajuda o ransomware a evitar um alerta vermelho porque o novo método de criptografia é estatisticamente muito semelhante ao original não criptografado. Esta é a primeira vez que os pesquisadores da Sophos viram essa abordagem usada em ransomware.

 

“O que diferencia o LockFile é que, ao contrário dos outros, ele não criptografa os primeiros blocos. Em vez disso, o LockFile criptografa todos os outros 16 bytes de um documento. Isso significa que um arquivo, como um documento de texto, permanece parcialmente legível e se parece estatisticamente com o original. Esse truque pode ser bem-sucedido contra software de detecção de ransomware que depende da inspeção de conteúdo usando análise estatística para detectar criptografia”, comenta Mark Loman, Diretor de Engenharia da Sophos.

 

“O ransomware LockFile aparentemente surgiu do nada e os operadores por trás dele não hesitaram em explorar vulnerabilidades recém-publicadas e corrigidas – dos bugs do ProxyShell à prova de conceito PetitPotam publicada recentemente. Eles também parecem ansiosos para aproveitar sua nova abordagem de criptografar arquivos intermitentemente para garantir que seus ataques funcionem”, completa executivo.

 

Outras descobertas importantes detalhadas na nova pesquisa da Sophos incluem:

 

• O ransomware LockFile usa um processo relativamente incomum conhecido como “entrada/saída (E/S) mapeada na memória” para criptografar um arquivo. Esta técnica permite que o ransomware criptografe documentos que estão armazenados em cache na memória do computador, sem criar tráfego telemático de entrada/saída adicional que as tecnologias de detecção irão identificar. Esta técnica também foi usada pelos ransomwares WastedLocker e Maze;

 

• Em linha com outro ransomware dirigido por humanos, o LockFile não precisa se conectar a um centro de comando e controle para se comunicar. Isso reduz o tráfego e ajuda a manter a atividade de ataque sob o radar de detecção pelo maior tempo possível. Depois que o ransomware criptografa todos os documentos da máquina, ele se exclui. Isso significa que, após o ataque, não há binário de ransomware para que os respondentes a incidentes ou software de proteção de endpoint encontrem ou limpem;

 

• Como uma técnica adicional, o Lockfile evita criptografar cerca de 800 tipos de arquivos diferentes por extensão, confundindo ainda mais algumas proteções anti-ransomware.

 

 

 

Conteúdos Relacionados

Security Report | Overview

Violações de dados geram perda de 18% no PIB nacional, aponta Instituto

Estudo elaborado pelo Instituto Nacional de Combate ao Cibercrime (INCC) mostra impactos preocupantes dos custos de violações de dados no...
Security Report | Overview

Setor financeiro no Brasil sofreu cerca de 1.774 ciberataques por semana, diz estudo

Globalmente, o setor bancário sofreu uma média de 1.696 ciberataques semanais por organização nos últimos seis meses, e as ameaças...
Security Report | Overview

Relatório alerta sobre brechas em sistemas Microsoft, Facebook e WordPress

Estudo da Redbelt também destaca um anúncio realizado pela divisão de nuvem do Google que aplicará a autenticação multifator (MFA)...
Security Report | Overview

Mobly forma parceria para ampliar visibilidade de SI e reduzir falsos positivos

Ambiente implementado pela Add Value permitiu a integração de solução CrowdStrike que melhorou a visibilidade e o controle sobre os...