Subscribe to our Newsletter!
By subscribing to our newsletter, you agree with our privacy terms
Home > Cibersegurança > Ransomware usa criptografia como disfarce
Setembro 02, 2021
Um método nunca usado antes em ataques ransomware é a arma da nova ameaça LockFile para fazer mais vítimas. A chamada criptografia intermitente revelada pelos pesquisadores da Sophos parece explorar as vulnerabilidades do ProxyShell em servidores Microsoft Exchange para violar sistemas que ainda não corrigiram essas falhas.
A tática usada pelo ransomware LockFile se baseia em criptografar apenas pacotes de 16 bytes dentro de um arquivo em vez de seu conteúdo completo, o que torna o documento criptografado estatisticamente muito semelhante ao original e ajuda a evitar a detecção da invasão por algumas soluções de proteção.
Para a Sophos, a característica que chama a atenção nesse ransomware não é o fato de fazer essa criptografia parcial. Os grupos LockBit 2.0, DarkSide e BlackMatter, por exemplo, são conhecidos por criptografar apenas parte dos documentos a fim de concluir o processo de criptografia mais rapidamente. O que diferencia o LockFile é não criptografar os primeiros blocos. Em vez disso, criptografa outros 16 bytes seguintes do documento, deixando-o parcialmente legível.
A vantagem em adotar essa abordagem é que a criptografia intermitente distorce a análise estatística e confunde algumas tecnologias de proteção. Por exemplo, o teste qui-quadrado (chi^2) de Pearson e suas variantes são usados por algumas soluções contra ransomware para determinar se há uma diferença estatisticamente significativa entre amostras. Comparando-se a ação do LockFile e do DarkSide sobre um arquivo de texto de 481 KB, com uma pontuação chi^2 original de 3850061, pode-se observar que o documento criptografado pelo DarkSide passa a receber uma pontuação de 334, indicação clara de que o arquivo foi criptografado. Quando o mesmo documento é criptografado pelo ransomware LockFile, a pontuação registrada segue sendo significativamente alta (1789811), eventualmente afastando suspeitas de invasão.
O nome dos documentos criptografados usam caracteres minúsculos e extensão .lockfile. Em vez de inserir uma nota de resgate no formato TXT, o LockFile usa um arquivo HTML Application (HTA), muito parecida com a utilizada pelo ransomware LockBit 2.0, segundo os pesquisadores da Sophos. O aviso pede às vítimas que entrem em contato com o endereço de e-mail contact@contipauper.com. O domínio, criado em 16 de agosto de 2021, pode ser uma referência depreciativa a um grupo de ransomware concorrente chamado Conti.
O LockFile também usa o sistema de entrada/saída (I/O) mapeado em memória para criptografar arquivos armazenados em cache e gravá-los com o mínimo de acesso a disco – mais uma meio de fugir das técnicas de detecção. Ao usar essa técnica, o ransomware pode acessar os documentos mais rapidamente para criptografá-los e depois deixar que o próprio sistema operacional grave-os em disco em uma ação separada do processo mal-intencionado em si. Aplicando apenas esse truque, o LockFile pode evitar a detecção por parte de algumas soluções anti-ransomware baseadas em comportamento.
Outra forma usada pelo LockFile para se tornar mais difícil de identificar vem do fato de não precisar se conectar a um centro de comando e controle.
Para se disseminar, o ransomware LockFile explorou uma série de vulnerabilidades em servidores Microsoft Exchange conhecidas como ProxyShell (CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207). Ainda que patches para essas falhas estejam disponíveis desde abril e maio, muitas organizações ainda não os aplicaram em seus servidores, tornando-os presas fáceis para ataques ransomware como os do LockFile.
Novembro 25, 2022
Novembro 14, 2022
Novembro 03, 2022
Outubro 18, 2022
Outubro 13, 2022
Outubro 05, 2022
Setembro 19, 2022
Previous
Aprendizado de máquina nas mãos do cibercrime
Next
FBI alerta sobre grupo cibercriminoso OnePercent