Los actores de amenazas están recurriendo cada vez más a un nuevo método de cifrado en sus ataques de ransomware, diseñado para mejorar las tasas de éxito, según SentinelOne.
Investigadores de SentinelLabs Aleksandar Milenkoski y Jim Walter escribieron en una nueva entrada de blog que el “cifrado intermitente” está siendo muy publicitado entre los compradores y afiliados.
Sus principales ventajas sobre los métodos más tradicionales de cifrado de ransomware son la velocidad y su capacidad para evadir las herramientas de detección de amenazas.
Al cifrar sólo parcialmente los archivos de las víctimas, los actores de la amenaza pueden causar “daños irrecuperables en un plazo muy corto”, escribió el dúo.
Además, el cifrado intermitente ayuda a confundir el análisis estadístico utilizado por las herramientas de seguridad para detectar la actividad del ransomware.
A mediados de 2021, LockFile fue la primera variante que utilizó la nueva técnica, cifrando cada 16 bytes de un archivo. A principios de este año, un estudio de Splunk la calificó como la más rápida de las 10 variantes de ransomware, cifrando casi 100.000 archivos, con un total de casi 53 GB, en sólo cuatro minutos.
Esto fue un 86% más rápido que la media de 43 minutos de todas las variantes estudiadas.
Desde LockBit, SentinelOne ha identificado varias familias de ransomware que siguen el ejemplo y adoptan el cifrado intermitente, como Qyick, Agenda, BlackCat (ALPHV), Play y Black Basta.
La industria de la seguridad puede tener que adaptarse a la nueva tendencia para mejorar sus capacidades de detección.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian