Ransomware usa criptografia como disfarce

Sheila Zabeu -

Setembro 02, 2021

Um método nunca usado antes em ataques ransomware é a arma da nova ameaça LockFile para fazer mais vítimas. A chamada criptografia intermitente revelada pelos pesquisadores da Sophos parece explorar as vulnerabilidades do ProxyShell em servidores Microsoft Exchange para violar sistemas que ainda não corrigiram essas falhas.

A tática usada pelo ransomware LockFile se baseia em criptografar apenas pacotes de 16 bytes dentro de um arquivo em vez de seu conteúdo completo, o que torna o documento criptografado estatisticamente muito semelhante ao original e ajuda a evitar a detecção da invasão por algumas soluções de proteção.

Para a Sophos, a característica que chama a atenção nesse ransomware não é o fato de fazer essa criptografia parcial. Os grupos LockBit 2.0, DarkSide e BlackMatter, por exemplo, são conhecidos por criptografar apenas parte dos documentos a fim de concluir o processo de criptografia mais rapidamente. O que diferencia o LockFile é não criptografar os primeiros blocos. Em vez disso, criptografa outros 16 bytes seguintes do documento, deixando-o parcialmente legível.

A vantagem em adotar essa abordagem é que a criptografia intermitente distorce a análise estatística e confunde algumas tecnologias de proteção. Por exemplo, o teste qui-quadrado (chi^2) de Pearson e suas variantes são usados por algumas soluções contra ransomware para determinar se há uma diferença estatisticamente significativa entre amostras. Comparando-se a ação do LockFile e do DarkSide sobre um arquivo de texto de 481 KB, com uma pontuação chi^2 original de 3850061, pode-se observar que  o documento criptografado pelo DarkSide passa a receber uma pontuação de 334, indicação clara de que o arquivo foi criptografado. Quando o mesmo documento é criptografado pelo ransomware LockFile, a pontuação registrada segue sendo significativamente alta (1789811), eventualmente afastando suspeitas de invasão.

O nome dos documentos criptografados usam caracteres minúsculos e extensão .lockfile. Em vez de inserir uma nota de resgate no formato TXT, o LockFile usa um arquivo HTML Application (HTA), muito parecida com a utilizada pelo ransomware LockBit 2.0, segundo os pesquisadores da Sophos. O aviso pede às vítimas que entrem em contato com o endereço de e-mail contact@contipauper.com. O domínio, criado em 16 de agosto de 2021, pode ser uma referência depreciativa a um grupo de ransomware concorrente chamado Conti.

Fonte: Sophos

O LockFile também usa o sistema de entrada/saída (I/O) mapeado em memória para criptografar arquivos armazenados em cache e gravá-los com o mínimo de acesso a disco – mais uma meio de fugir das técnicas de detecção. Ao usar essa técnica, o ransomware pode acessar os documentos mais rapidamente para criptografá-los e depois deixar que o próprio sistema operacional grave-os em disco em uma ação separada do processo mal-intencionado em si. Aplicando apenas esse truque, o LockFile pode evitar a detecção por parte de algumas soluções anti-ransomware baseadas em comportamento.

Outra forma usada pelo LockFile para se tornar mais difícil de identificar vem do fato de não precisar se conectar a um centro de comando e controle. 

Para se disseminar, o  ransomware LockFile explorou uma série de vulnerabilidades em servidores Microsoft Exchange conhecidas como ProxyShell (CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207). Ainda que patches para essas falhas estejam disponíveis desde abril e maio, muitas organizações ainda não os aplicaram em seus servidores, tornando-os presas fáceis para ataques ransomware como os do LockFile.