Cresce o uso de criptografia intermitente para sequestrar dados das vítimas
SentinelOne constata que o artificio, que evita a detecção, está sendo vendido na dark web e vários grupos passaram a usar o ransomware com criptografia intermitente, inclusive o BlackCat, o primeiro RaaS.
O ransomware com criptografia intermitente é um novo truque que os cibercriminosos inventaram para escapar dos sistemas de detecção. Inclusive, os “desenvolvedores” do artifício, além de adotar o recurso, que apareceu no fim de 2021, divulgam a novidade criminosa na dark web tanto para atrair afiliados como para comercializá-la. Desde então, um número crescente de operações de ransomware usa a manobra, o que mostra que esta é uma tendência no mundo do cibercrime. O mercado negro, cresce, se profissionaliza e nele corre muito dinheiro.
A constatação foi feita pela SentinelOne, solução de cibersegurança baseada em inteligência artificial que abrange desde a prevenção, a detecção, a resposta e a caça aos ataques. De acordo com Gabriel Camargo, diretor de produtos da CLM, que distribui a tecnologia da SentinelOne na América Latina, a modalidade criminosa é mais eficiente porque agiliza a encriptação dos dados da vítima, causando danos irrecuperáveis em um período muito curto.
“Além disso, ao contrário da criptografia completa, a intermitente ajuda a evitar análises estatísticas, que avaliam a intensidade das operações de I/O (entrada e saída) de arquivos, inclusive por semelhança entre versões criptografadas, ao exibir intensidade significativamente menor dessas operações e, portanto, escapando de sistemas de detecção convencionais”, alerta Camargo.
A SentinelOne explica que a criptografia intermitente é, de fato, uma nova tendência no cenário do ransomware. “Também chamada de criptografia parcial dos arquivos das vítimas, o método ajuda os operadores de ransomware a escapar dos sistemas de detecção e criptografar os arquivos das vítimas mais rapidamente”, conta a empresa, cuja tecnologia inclui prevenção, detecção, resposta e caça a ataques, com base em IA, em endpoints, contêineres, cargas de trabalho em nuvem e dispositivos IoT em uma única plataforma XDR autônoma.
Inúmeros grupos de ransomware passaram a usar esse método
A SentinelOne analisou as várias famílias de ransomware que, recentemente, passaram a usar a criptografia intermitente na tentativa de evitar detecção e prevenção: Qyick, Agenda, BlackCat (ALPHV), PLAY e Black Basta. O LockFile foi uma das primeiras grandes famílias de ransomware a usar o método.
Ransomware Qyick vem com garantia de eficácia
A SentinelOne observou, no fim de agosto de 2022, um usuário chamado lucrostm, que anunciava um novo ransomware comercial chamado Qyick, em um popular fórum de crimes baseado no browser TOR. A empresa rastreou o usuário e constatou que ele é um fornecedor estabelecido com outras ferramentas maliciosas.
A oferta de ransomware Qyick, escrito em Go e com criptografia intermitente, é uma compra única, ao contrário do modelo de assinatura, que é o mais comum. O preço varia de 0,2 BTC (Bitcoins) a aproximadamente 1,5 BTC, dependendo do nível de personalização que o comprador exige. O comprador recebe um executável compilado com garantia: se o ransomware for detectado pelo software de segurança em até seis meses após a compra, o vendedor fornecerá uma nova amostra com desconto entre 60% e 80% do preço original. A descoberta sugere que a criptografia intermitente é uma tendência atual no cenário de ameaças de ransomware.