Cresce o uso de criptografia intermitente, nova arma do cibercrime para sequestrar dados das vítimas
SentinelOne constata
que o artificio, que evita a detecção, está sendo vendido na dark web e vários
grupos passaram a usar o ransomware com criptografia intermitente, inclusive o
primeiro RaaS (Ransomware as a Service), o BlackCat (ALPHV)
Você
já ouviu falar em ransomware com criptografia intermitente? Pois é, este é um
novo truque que os cibercriminosos inventaram para escapar dos sistemas de
detecção. Inclusive, os “desenvolvedores” do artifício, além de adotar o
recurso, que apareceu no fim de 2021, divulgam a novidade criminosa na dark web
tanto para atrair afiliados como para comercializá-la. Desde então, um número
crescente de operações de ransomware usa a manobra, o que mostra que esta é uma
tendência no mundo do cibercrime. O mercado negro, cresce, se profissionaliza e
nele corre muito dinheiro.
A constatação foi feita pela SentinelOne, solução de cibersegurança baseada em inteligência artificial que abrange desde a prevenção, a detecção, a resposta e a caça aos ataques. De acordo com Gabriel Camargo, diretor de produtos da CLM, que distribui a tecnologia da SentinelOne na América Latina, a modalidade criminosa é mais eficiente porque agiliza a encriptação dos dados da vítima, causando danos irrecuperáveis em um período muito curto.
“Além
disso, ao contrário da criptografia completa, a intermitente ajuda a evitar
análises estatísticas, que avaliam a intensidade das operações de I/O (entrada
e saída) de arquivos, inclusive por semelhança entre versões criptografadas, ao
exibir intensidade significativamente menor dessas operações e, portanto,
escapando de sistemas de detecção convencionais”, alerta Camargo.
A
SentinelOne explica que a criptografia intermitente é, de fato, uma nova
tendência no cenário do ransomware. “Também chamada de criptografia parcial dos
arquivos das vítimas, o método ajuda os operadores de ransomware a escapar dos
sistemas de detecção e criptografar os arquivos das vítimas mais rapidamente”,
conta a empresa, cuja tecnologia inclui prevenção, detecção, resposta e caça a
ataques, com base em IA, em endpoints, contêineres, cargas de trabalho em nuvem
e dispositivos IoT em uma única plataforma XDR autônoma.
Análise:
inúmeros grupos de ransomware passaram a usar esse método
A
SentinelOne analisou as várias famílias de ransomware que, recentemente,
passaram a usar a criptografia intermitente na tentativa de evitar detecção e
prevenção: Qyick, Agenda, BlackCat (ALPHV), PLAY e Black Basta.
O
LockFile foi uma das primeiras grandes famílias de ransomware a usar o método.
Ransomware
Qyick, esse vem com garantia de eficácia
A
SentinelOne observou, no fim de agosto de 2022, um usuário chamado lucrostm, que anunciava
um novo ransomware comercial chamado Qyick, em um popular fórum de crimes
baseado no browser TOR. A empresa rastreou o usuário e constatou que ele é um
fornecedor estabelecido com outras ferramentas maliciosas.
A
oferta de ransomware Qyick, escrito em Go e com criptografia intermitente, é
uma compra única, ao contrário do modelo de assinatura, que é o mais comum. O
preço varia de 0,2 BTC (Bitcoins) a aproximadamente 1,5 BTC, dependendo do
nível de personalização que o comprador exige. O comprador recebe um executável
compilado com garantia: se o ransomware for detectado pelo software de
segurança em até seis meses após a compra, o vendedor fornecerá uma nova
amostra com desconto entre 60% e 80% do preço original. A descoberta sugere que
a criptografia intermitente é uma tendência atual no cenário de ameaças de
ransomware.
“Notably
Qyick features intermittent encryption which is what the cool kids are using as
you read this. Combined with the fact that is written in go, the speed is unmatched.”
Anúncio do Qyick ransomware (abaixo)
Agenda,
Ransomware esse é personalizado
O
Agenda Ransomware, detectado pela primeira vez em agosto de 2022, foi também
escrito em Go e é usado principalmente para atingir organizações de saúde e
educação, na África e na Ásia. O ransomware tem algumas opções de
personalização, que incluem alterar as extensões de nome de arquivos
criptografados, e a lista de processos e serviços a serem encerrados. E oferece
suporte a vários modos de criptografia que o operador do ransomware pode
configurar por meio da implementação criptográfica. A tela de 'ajuda' exibe os
diferentes modos de criptografia disponíveis: pular etapa, porcentagem e rápido
(skip-step
, percent
,
and fast
).
Tela de 'Ajuda' do Agenda, mostrando os modos de criptografia disponíveis (abaixo)
Agenda,
Ransomware esse é personalizado
O
Agenda Ransomware, detectado pela primeira vez em agosto de 2022, foi também
escrito em Go e é usado principalmente para atingir organizações de saúde e
educação, na África e na Ásia. O ransomware tem algumas opções de
personalização, que incluem alterar as extensões de nome de arquivos
criptografados, e a lista de processos e serviços a serem encerrados. E oferece
suporte a vários modos de criptografia que o operador do ransomware pode
configurar por meio da implementação criptográfica. A tela de 'ajuda' exibe os
diferentes modos de criptografia disponíveis: pular etapa, porcentagem e rápido
(skip-step
, percent
,
and fast
).
Tela de 'Ajuda' do Agenda, mostrando os modos de criptografia disponíveis (abaixo)
O
grupo executa um programa de ransomware como serviço (RaaS), compartilha
pagamentos de resgate com afiliados e usa um host à prova de balas (bulletproof hosting) em seus sites, bem
como um mixador Bitcoin para anonimizar as transações.
É um
dos primeiros a adotar esquemas de extorsão, como ameaçar as vítimas com
ataques DDoS, vazar dados exfiltrados e intimidar funcionários e clientes de
organizações vítimas caso não paguem resgate. Organizações e empresas em todo o
mundo têm sido alvo do BlackCat. Em setembro de 2022, o BlackCat atacou a
empresa estatal italiana de energia GSE.
A postagem original do fórum ALPHV/BlackCat (abaixo)
O
pesquisador Aleksandar Milenkoski, do SentinelLabs, fez engenharia reversa do
ransomware BlackCat e delineou os diferentes modos de criptografia suportados
por ele, a maioria dos quais implementa criptografia intermitente.
PLAY
esse Ransomware não é brincadeira
O
ransomware PLAY é um novo participante na cena do ransomware e foi detectado
pela primeira vez no fim de junho de 2022. O ransomware vitimou recentemente
alvos de alto perfil, como o Tribunal de Córdoba, na Argentina, em agosto de
2022. A nota de resgate do PLAY consiste em uma única palavra – JOGAR – e um
endereço de e-mail de contato.
Nota de resgate do ransomware PLAY (abaixo)
Ao
contrário do Agenda e do BlackCat, o PLAY não possui modos de criptografia que
podem ser configurados pelo operador. O PLAY orquestra a criptografia
intermitente com base no tamanho do arquivo, criptografando pedaços (porções de
arquivo) de 0x100000 bytes. Por exemplo, pesquisas anteriores afirmam que, sob
certas condições, o PLAY ransomware criptografa: 2 pedaços, se o tamanho do
arquivo for menor ou igual a 0x3fffffff bytes; 3 blocos, se o tamanho do
arquivo for menor ou igual a 0x27fffffff bytes e 5 blocos, se o tamanho do
arquivo for maior que 0x280000000 bytes.
Black
Basta mais um Ransomware-as-a-Service para concorrer no mercado
O
Black Basta é um programa RaaS que surgiu em abril de 2022 com amostras de
ransomware que datam de fevereiro de 2022. Ao que parece, o Black Basta emergiu
da desintegração da operação Conti. O ransomware é escrito na linguagem de programação
C++ e suporta Windows e Linux. Os operadores do Black Basta usam o esquema de
extorsão dupla que ameaça as organizações vítimas com o vazamento de dados
exfiltrados no site do grupo de ameaças Basta
News, acessável pelo TOR, caso as vítimas não paguem resgate.
Os principais alvos são organizações, principalmente de serviços públicos,
tecnologia, finanças e manufatura, de todo o mundo. Mais de 20 organizações
figuraram no Basta News, nas primeiras duas semanas de sua existência.
Site Basta News (abaixo)
Gabriel
Camargo estima que, em decorrência dos benefícios significativos para os
cibercriminosos, como a praticidade de implementação, a criptografia
intermitente continuará a ser adotada por mais grupos de ransomware.
“Felizmente, o SentinelOne Singularity detecta totalmente esse tipo de
ransomware”, finaliza o executivo.
Sobre
a CLM
CLM é
um distribuidor latino-americano, de valor agregado, com foco em segurança da
informação, proteção de dados, infraestrutura para data centers e cloud. A
empresa recebeu recentemente três prêmios: o de melhor distribuidor da América
Latina pela Nutanix, prêmio conquistado pela qualidade e agilidade nos serviços
prestados aos canais; o prêmio Lenovo/Intel Best Growth LA Partner oferecido à
empresa que mais se destacou pelo crescimento das vendas; e o Infor Channel
Distribution Excellence, uma conquista que se deve ao compromisso da CLM com a
excelência e busca incansável de fornecer as melhores soluções e serviços aos
parceiros de negócios. Com sede em São Paulo, a empresa possui coligadas nos
EUA, Colômbia, Peru. Além de extensa rede de VARs na América Latina e enorme
experiência no mercado, a CLM está constantemente em busca de soluções
inovadoras e disruptivas para fornecer cada vez mais valor para seus canais e
seus clientes. www.CLM.international
Sobre
a SentinelOne
A
SentinelOne é a única solução de segurança cibernética que abrange prevenção,
detecção, resposta e caça a ataques com base em IA, em endpoints, contêineres,
cargas de trabalho em Nuvem e dispositivos IoT em uma única plataforma XDR
autônoma. Com o SentinelOne, as organizações conseguem total transparência em
tudo o que está acontecendo na rede, na velocidade da máquina - para derrotar
todos os ataques, em todas as fases do ciclo de vida da ameaça. Para saber
mais, visite www.sentinelone.com ou siga a empresa em @SentinelOne, no
LinkedIn ou Facebook.
Nenhum comentário