Malware | Ransomware | Šifrování

Ransomware zásadně mění taktiku útoků. Šifruje jen část souborů, takže je ještě rychlejší a nebezpečnější

Stále více skupin ransomwaru používá novou taktiku, která pomáhá rychleji zašifrovat soubory v systému obětí a zároveň snižuje šanci na včasné odhalení a zastavení. Přerušované šifrování („intermittent encryption“) spočívá v zašifrování pouze části obsahu cílových souborů, informuje web Bleeping Computer.

Princip je prostý a vlastně překvapí, že tuto metodu ransomware nevyužívá už od začátku své existence. Místo šifrování celého souboru zašifruje jen určité bloky. Pokud například postupuje způsobem, kdy každých 16 bajtů zašifruje a 16 bajtů ponechá v původní podobě, zkrátí tím čas potřebný k zašifrování zhruba na polovinu.

Přerušované šifrování

Takto zašifrovaný soubor se stane stejně nečitelným, jako kdyby byl zakódovaný celý – v příslušné aplikaci ho pak nelze otevřít. Navíc, protože je šifrování méně nápadné, automatické detekční nástroje, spoléhající na detekci příznaků v podobě intenzivních souborových operací, s větší pravděpodobností selžou.

Kyberbezpečnostní firma SentinelLabs zveřejnila zprávu zkoumající trend, který v polovině roku 2021 zahájil ransomware LockFile. Od něj taktiku přerušovaného šifrování dat převzaly další ransomwarové gangy – například Black Basta, ALPHV (BlackCat), PLAY, Agenda a Qyick.

Například ransomware Agenda nabízí přerušované šifrování jako volitelné a konfigurovatelné nastavení. Tři možné režimy částečného šifrování jsou:

  • šifrování určitého počtu megabajtů s následným přeskočením daného počtu megabajtů,
  • zašifrování jen první části souborů zvolené velikosti,
  • šifrování jen určitého procenta dat z každého souboru.

Samé výhody, žádná nevýhoda

Jiný ransomware BlackCat dává operátorům možnost volby konfigurace v podobě různých vzorů přeskakování. Malware může například šifrovat pouze první bajty souboru nebo určité bloky. Má také „automatický“ režim, kombinující více způsobů pro dosažení „zamotanějšího“ výsledku.

Nedávný výskyt ransomwaru PLAY, jež figuroval v útoku na argentinskou justici v Córdobě, byl rovněž podpořen rychlostí přerušovaného šifrování. PLAY sice neposkytuje možnosti konfigurace, ale v závislosti na velikosti rozděluje soubory na dvě, tři nebo pět částí a poté zašifruje každou část zvlášť.

Vypadá to, že přerušované šifrování má značné výhody a prakticky žádné nevýhody. Bezpečnostní analytici proto očekávají, že tento přístup brzy aplikuje více ransomwarových gangů. Z hlediska rychlosti šifrování je aktuálně nejrychlejší LockBit, a pokud by nasadil techniku částečného šifrování, doba trvání jeho útoků by se zkrátila na několik minut.

Kódování dat je samozřejmě složitá záležitost a implementace přerušovaného šifrování musí být provedena správně, aby neměla za následek snadné obnovení dat. V tuto chvíli je dle odborníků nejpropracovanější implementace v ransomwaru BlackCat.

Diskuze (12) Další článek: Věčná medúza Turritopsis umí to samé co Benjamin Button. Namísto smrti otočí čas

Témata článku: , , , , , , , , , , , , ,