I ricercatori di SentinelOne hanno rilevato l’uso crescente di una nuova tattica che i cybercriminali sfruttano per evitare la rilevazione del ransomware. Invece di cifrare completamente tutti i file viene adottata la crittografia intermittente o parziale. Ciò velocizza l’operazione, impedendo comunque l’accesso ai dati. In ogni caso è sempre consigliata l’installazione di una soluzione di sicurezza per limitare i rischi.
Cambia l’uso della crittografia
L’uso della nuova tattica è stato rilevato per la prima a metà 2021 durante un attacco effettuato con il ransomware LockFile. Recentemente è stata adottata dai ransomware Qyick, Agenda, BlackCat (ALPHV), PLAY e Black Basta. I malware vengono solitamente offerti in abbonamento (Ransomware-as-a-Service) e gli autori permettono di scegliere i parametri di configurazione desiderati, tra cui la modalità di crittografia.
Ad esempio, nel caso di Agenda è possibile cifrare ogni X MB del file, saltando Y MB oppure cifrare i primi X MB. Il noto BlackCat offre invece sei modalità di crittografia, tra cui quella automatica. Inoltre può sfruttare l’accelerazione hardware del computer della vittima per applicare l’algoritmo AES.
Black Basta sceglie il tipo di crittografia in base alla dimensione del file. Se è inferiore a 740 byte viene usata la crittografia completa. Se la dimensione è compresa tra 704 byte e 4 KB, il ransomware cifra ogni 64 byte saltando i 192 byte successivi. Infine, se la dimensione è superiore a 4 KB, l’intervallo scende a 128 byte.
L’uso della crittografia intermittente o parziale consente di raggiungere due obiettivi. Il primo è la velocità di esecuzione. Il secondo è la minore probabilità di essere rilevato, in quanto il numero ridotto delle operazioni di I/O sui file non viene identificato come sospetto dai tool di analisi statistica.