Técnicas de encriptación intermitente: la nueva estrategia de los grupos de ransomware

Existe una nueva técnica utilizada por algunos grupos de ransomware que ha sido observada recientemente en la naturaleza y se conoce como "encriptación intermitente", según revela un nuevo informe de SentinelOne.

Índice de Contenido
  1. ¿Qué es la encriptación intermitente?
  2. ¿Qué grupos de amenazas utilizan la encriptación intermitente?
    1. Ransomware Qyick
    2. Ransomware PLAY
    3. Ransomware Agenda
    4. Ransomware Black Basta
    5. Ransomware BlackCat/ALPHV
  3. Cómo protegerse de esta amenaza

¿Qué es la encriptación intermitente?

Técnicas de encriptación intermitente: la nueva estrategia de los grupos de ransomware - Seguridad | Imagen 1 Newsmatic

El término puede resultar confuso, por lo que es importante aclararlo de inmediato: la encriptación intermitente no consiste en encriptar archivos completos seleccionados, sino en encriptar cada x bytes de los archivos.

Según los investigadores, la encriptación intermitente permite evadir mejor los sistemas que utilizan análisis estadísticos para detectar una infección por ransomware en curso. Este tipo de análisis se basa en la intensidad de las operaciones de entrada y salida de archivos del sistema operativo o en la similitud entre una versión conocida de un archivo y una versión modificada sospechosa. Por lo tanto, la encriptación intermitente reduce la intensidad de las operaciones de entrada/salida de archivos y muestra una similitud mucho mayor entre las versiones no encriptadas y encriptadas de un archivo específico, ya que solo se modifican algunos bytes del archivo.

La encriptación intermitente también tiene la ventaja de encriptar menos contenido pero seguir dejando el sistema inutilizable en un período de tiempo muy corto, lo que dificulta aún más la detección de la actividad de ransomware entre el momento de la infección y el momento en que se ha encriptado el contenido.

Un estudio realizado sobre el ransomware BlackCat utilizando diferentes tamaños de archivos reveló que la encriptación intermitente ofrece importantes beneficios de velocidad para los actores de amenazas.

Históricamente, el ransomware LockFile fue la primera familia de malware en utilizar la encriptación intermitente, a mediados de 2021, pero ahora varias familias de ransomware la están utilizando.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

¿Qué grupos de amenazas utilizan la encriptación intermitente?

También es importante saber que la encriptación intermitente se ha vuelto cada vez más popular en los foros clandestinos, donde ahora se anuncia para atraer a más compradores o afiliados.

Ransomware Qyick

Según los investigadores de SentinelOne, vieron un anuncio de un nuevo ransomware comercial llamado Qyick en un popular foro del Dark Web. El anunciante conocido como lucrostm había vendido anteriormente otros programas, como herramientas de acceso remoto (RAT) y cargadores de malware, y vende Qyick a un precio que oscila entre 0,2 Bitcoin (BTC) y aproximadamente 1,5 BTC, dependiendo de las opciones que el comprador desee. Una de las garantías proporcionadas por lucrostm es que, si se detecta un archivo binario de la familia de ransomware en los sistemas de seguridad en los seis meses posteriores a la compra, se ofrecerá un generoso descuento del 60 al 80% para una nueva muestra de ransomware indetectable.

El ransomware está escrito en lenguaje Go, lo que, según el desarrollador, acelera el ransomware, además del uso de la encriptación intermitente (Figura A).

Figura A

Técnicas de encriptación intermitente: la nueva estrategia de los grupos de ransomware - Seguridad | Imagen 2 Newsmatic

Qyick todavía está en desarrollo. Si bien actualmente no tiene capacidades de exfiltración, las versiones futuras permitirán a su controlador ejecutar código arbitrario, destinado principalmente a ese propósito.

Cómo proteger tu computadora de los virus: métodos y consejos

Ransomware PLAY

Este ransomware se vio por primera vez a fines de junio de 2022. Utiliza la encriptación intermitente basada en el tamaño del archivo actual. Encripta fragmentos de 0x100000 bytes en hexadecimal (1048576 bytes en decimal) y encripta dos, tres o cinco fragmentos, según el tamaño del archivo.

Ransomware Agenda

Este ransomware también está escrito en lenguaje Go. Admite varios métodos de encriptación intermitente diferentes que el controlador puede configurar.

Una primera opción llamada "skip-step" permite al atacante encriptar cada X MB (megabyte) del archivo, saltando un número especificado de MB. Una segunda opción llamada "fast" permite la encriptación solo de los primeros N MB de los archivos. La última opción, "percent", permite la encriptación solo de un porcentaje del archivo.

Ransomware Black Basta

Este ransomware ha funcionado como un ransomware como servicio (RaaS) desde abril de 2022. Está escrito en lenguaje C++ y sus operadores lo han utilizado para la extorsión doble, amenazando a las víctimas con filtrar datos exfiltrados si no pagan el rescate.

La encriptación intermitente de Black Basta encripta cada 64 bytes y omite 192 bytes si el tamaño del archivo es inferior a 4 KB. Si el archivo es mayor de 4 KB, el ransomware encripta cada 64 bytes pero omite 128 bytes en lugar de 192.

Ransomware BlackCat/ALPHV

BlackCat, también conocido como ALPHV, es un ransomware desarrollado en lenguaje Rust y se ofrece como modelo de RaaS. El grupo de amenazas se especializó desde muy temprano en el uso de esquemas de extorsión, como amenazar a sus víctimas con filtraciones de datos o ataques de denegación de servicio distribuido (DDoS).

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

El ransomware BlackCat ofrece varios modos de encriptación diferentes a su controlador, desde encriptación completa hasta modos que integran la encriptación intermitente: ofrece la capacidad de encriptar solo los primeros N bytes de los archivos o de encriptar cada N byte y saltar X bytes entre ellos.

También tiene una encriptación más avanzada que divide los archivos en bloques de diferentes tamaños y solo encripta los primeros P bytes de cada bloque.

Además de la encriptación intermitente, BlackCat también contiene cierta lógica para maximizar la velocidad: si el ordenador infectado admite aceleración por hardware, el ransomware utiliza el algoritmo AES (Estándar de Encripción Avanzada) para la encriptación. Si no, utiliza el algoritmo ChaCha20 que está completamente implementado en software.

Cómo protegerse de esta amenaza

Se recomienda mantener siempre el sistema operativo y todo el software actualizado y parcheado para evitar ser comprometido por una vulnerabilidad común.

También se aconseja desplegar soluciones de seguridad para intentar detectar la amenaza antes de que se lance el ransomware en una o varias computadoras.

La autenticación multifactor también debe implementarse cuando sea posible, para que un atacante no pueda utilizar credenciales únicamente para acceder a una parte de la red donde podría ejecutar ransomware.

Protege tus contraseñas con PAM: Tu aliado para la seguridad

Se debe concienciar a cada usuario, especialmente en lo que respecta al correo electrónico, ya que es uno de los vectores de infección más utilizados para el ransomware.

Divulgación:Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Técnicas de encriptación intermitente: la nueva estrategia de los grupos de ransomware , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.