越来越多的勒索软件团体正在采用一种新策略,帮助他们更快地加密受害者的系统,同时减少被检测和阻止的机会。
这种策略称为间歇性加密,它只加密目标文件的部分内容,如果不使用有效的解密器+密钥,仍然会使数据无法恢复。
例如,通过跳过文件的每隔 16 个字节,加密过程几乎需要完全加密所需时间的一半,但仍会永久锁定内容。
此外,由于加密更温和,依赖于以密集文件 IO 操作形式检测故障迹象的自动检测工具更有可能失败。
“酷孩子用什么。”
SentinelLabs 发布了一份报告,研究了 LockFile 在 2021 年中期开始的趋势,现在被 Black Basta、ALPHV ( BlackCat )、PLAY、Agenda 和 Qyick 等公司采用。
这些团体积极宣传其勒索软件系列中间歇性加密功能的存在,以吸引关联公司加入 RaaS 操作。
“值得注意的是,Qyick 具有间歇性加密功能,这是你阅读本文时酷孩子们正在使用的。结合用 Go 编写的事实,速度是无与伦比的,”黑客论坛上的 Qyick 广告描述道。
Qyick 在论坛上推广其间歇性加密功能 (SentinelLabs)
Agenda 勒索软件提供间歇性加密作为可选和可配置设置。三种可能的部分加密模式是:
skip-step [skip: N, step: Y] – 加密文件的每 Y MB,跳过 N MB。
fast [f: N] – 加密文件的前 N MB。
百分比 [n: N; p:P] – 加密文件的每 N MB,跳过 P MB,其中 P 等于总文件大小的 P%。
Agenda 勒索软件间歇性加密配置 (SentinelLabs)
BlackCat 的间歇加密实现还以各种字节跳过模式的形式为运营商提供了配置选择。
例如,恶意软件可以只加密文件的第一个字节,遵循点模式,文件块的百分比,并且还有一个“自动”模式,它结合了多种模式以获得更复杂的结果。
最近通过对阿根廷科尔多瓦司法机构的高调攻击而出现的 PLAY 勒索软件也得到了间歇性加密速度的支持。
PLAY 不提供配置选项,而是根据文件大小将文件分成 2、3 或 5 个块,然后每隔一个块加密。
最后,目前该领域最知名的公司之一 Black Basta 也没有让操作员在模式中进行选择,因为它的压力决定了根据文件大小做什么。
对于小于 704 字节的小文件,它会加密所有内容。对于 704 字节到 4 KB 之间的文件,它会加密 64 字节并跳过其间的 192 字节。
如果文件大小超过 4 KB,Black Basta 的勒索软件会将未触及间隔的空间大小减少到 128 字节,而加密部分的大小保持 64 字节。
Black Basta 加密文件内容块 (SentinelLabs)
间歇性加密前景
间歇性加密似乎具有显着优势,几乎没有缺点,因此安全分析师预计会有更多勒索软件团伙很快采用这种方法。
LockBit 的应变在加密速度方面已经 是最快 的,所以如果该团伙采用部分加密技术,其攻击的持续时间将减少到几分钟。
当然,加密是一件复杂的事情,间歇性加密的实施必须正确,以确保不会导致受害者轻易恢复数据。
目前,BlackCat 的实施是最复杂的,而 Qyick 的实施仍然未知,因为恶意软件分析师尚未分析新 RaaS 的样本。
