Кибервымогатели переходят на новое шифрование: быстрое, экономное. Восстановить данные все так же нельзя
Избирательное действие
Сразу несколько вымогательских группировок стали использовать новый метод шифрования, позволяющий блокировать доступ к данным намного быстрее без ущерба для «эффективности». Более того, новый метод обеспечивает дополнительную скрытность процесса шифрования от автоматических средств обнаружения.
Суть методики состоит в том, что шифруется не всё содержимое каждого отдельного файла, а лишь часть — пропускаются каждые 16 байтов. В результате шифрование занимает вдвое меньше времени, а интенсивность ввода-вывода, на которую и реагируют некоторые автоматизированные средства обнаружения шифровальщиков, оказывается недостаточно высокой, чтобы вызвать реакцию защитных средств.
При этом извлечь информацию из файла оказывается невозможным без декриптора и ключа.
Шифровальщики начали использовать новый метод, при котором шифруется только часть файлов, так что процесс идет намного быстрее
По данным экспертов компании SentinelLabs, новый метод начала в 2021 г. использовать группировка LockFile. С тех пор его переняли Black Basta, ALPHV (BlackCat), PLAY, Agenda и Qyick. О последнем шифровальщике известно очень немногое — проанализировать его сэмплы экспертам по информбезопасности пока не удалось.
Метод «дискретного шифрования» уже стал одним из рекламируемых преимуществ, с помощью которого группировки, работающие по модели RaaS (т.е. сдающие шифровальщик в аренду) привлекают новых «партнёров».
Режим на выбор
Злоумышленники даже позволяют выбирать, какую часть каждого файла шифровать, сколько байтов пропускать, в каком порядке и так далее. Существует также вариант шифрования вразнобой, когда комбинируются сразу несколько методов, — чтение файла всё равно оказывается невозможным без декриптора и ключа.
Одна из недавно появившихся шифровальных группировок PLAY использовала дискретное шифрование при атаке на госорганы одной из областей Аргентины, и успех атаки был обусловлен в немалой степени именно той скоростью, с которой шифровальщик отработал.
Как российская ИТ-компания «Аскон» перешла с Cisco Webex на отечественный сервис для совещаний Импортозамещение ВКС
Сам по себе этот шифровальщик разбивает файл на два, три или пять фрагментов и шифрует каждый второй.
В свою очередь, Black Basta производит шифрование разными методами, в зависимости от размера файлов. Самые мелкие (меньше 704 байт) шифруются полностью, в файлах размером от 704 байт до 4 килобайт шифруются по 64 байта через каждые 192 байта, для более крупных файлов шаг пропуска составляет 128 байт.
Эксперты по безопасности указывают, что у дискретного шифрования масса достоинств и почти нет недостатков, так что эту методику, скорее всего, возьмут на вооружение все шифровальные группировки.
«Совершенно справедливые выводы, — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Скорость — один из важных факторов успеха атаки шифровальщика, и если есть способ радикально ускорить процесс по сравнению с более «традиционными» методами, злоумышленники, разумеется, за него уцепятся. И совершенно не важно, какая часть файла зашифрована в итоге — восстановить данные без ключа невозможно всё равно».