Ransomware-Betreiber haben eine neue Verschlüsselungsmethode entwickelt, die das Sperren von Dateien beschleunigt und weniger wahrscheinlich von Antivirenprogrammen bemerkt wird (öffnet in neuem Tab) und andere Cybersicherheitslösungen, haben Forscher herausgefunden.
Laut Experten von SentinelLabs steigt die Zahl der Ransomware (öffnet in neuem Tab) Betreiber (einschließlich Black Basta, BlackCat, PLAY und andere) haben damit begonnen, einen Prozess namens „intermittierende Verschlüsselung“ einzuführen, bei dem Dateien teilweise statt vollständig verschlüsselt werden.
Auf diese Weise werden die Dateien immer noch unbrauchbar (es sei denn, die Besitzer erhalten einen Entschlüsselungsschlüssel), aber der Verschlüsselungsprozess dauert deutlich weniger Zeit, und die Forscher fügen hinzu, dass sie erwarten, dass in Zukunft mehr Gruppen die Technik übernehmen werden.
Mehrere Ansätze
Verschiedene Gruppen gehen unterschiedlich an die intermittierende Verschlüsselung heran. Einige verschlüsseln nur die ersten paar Bytes einer Datei. Andere bieten mehrere Auswahlmöglichkeiten und überlassen die Entscheidung den Ransomware-Betreibern. Einige werden die Dateien in mehrere Teile aufteilen und nur einige von ihnen verschlüsseln. Aber für welche Option sie sich auch entscheiden, sie sind alle gleich gefährlich, da diese Technik ihnen auch dabei hilft, Tools zum Schutz von Endpunkten zu vermeiden.
Wie die Forscher erklärten, bei der Suche nach Malware (öffnet in neuem Tab)suchen automatisierte Erkennungstools nach intensiven Datei-E/A-Vorgängen. Da die intermittierende Verschlüsselung nicht so intensiv ist, kann sie oft unter dem Radar fliegen.
Der einzig mögliche Nachteil dieser Technik ist, dass die teilweise Verschlüsselung von Dateien es den Opfern leichter machen könnte, sie wiederherzustellen.
Obwohl einige Forscher behaupten, dass Ransomware an Fahrt verliert, weil Unternehmen sich entschieden haben, nicht zu zahlen und sich stattdessen für Schutzmaßnahmen und Backups entscheiden, sind einige Bedrohungsakteure immer noch recht aktiv. Erst letzte Woche wurde bekannt, dass alle Schulen in Los Angeles von einem solchen Angriff betroffen waren, von dem 26.000 Lehrer und 600.000 Schüler betroffen waren. Es erregte die Aufmerksamkeit des Weißen Hauses selbst und alarmierte das Bildungsministerium, das FBI und die Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) des Heimatschutzministeriums.
Über: Piepender Computer (öffnet in neuem Tab)