Criptografia intermitente é a nova tática dos grupos de ransomware

Ransomware com criptografia intermitente. Esta é uma nova estratégia que os cibercriminosos inventaram para escapar dos sistemas de detecção. Inclusive, os “desenvolvedores” do artifício, além de adotar o recurso, que apareceu no fim de 2021, divulgam a novidade criminosa na Dark Web tanto para atrair afiliados como para comercializá-la. Desde então, um número crescente de operações de ransomware usa a manobra, o que mostra que esta é uma tendência no mundo do cibercrime. O mercado negro, cresce, se profissionaliza e nele corre muito dinheiro.

A constatação foi feita pela SentinelOne, solução de cibersegurança baseada em Inteligência Artificial que abrange desde a prevenção, a detecção, a resposta e a caça aos ataques. De acordo com Gabriel Camargo, diretor de Produtos da CLM, que distribui a tecnologia da SentinelOne na América Latina, a modalidade criminosa é mais eficiente porque agiliza a encriptação dos dados da vítima, causando danos irrecuperáveis em um período muito curto.

“Além disso, ao contrário da criptografia completa, a intermitente ajuda a evitar análises estatísticas, que avaliam a intensidade das operações de I/O (entrada e saída) de arquivos, inclusive por semelhança entre versões criptografadas, ao exibir intensidade significativamente menor dessas operações e, portanto, escapando de sistemas de detecção convencionais”, alerta Camargo.

A SentinelOne explica que a criptografia intermitente é, de fato, uma nova tendência no cenário do ransomware. “Também chamada de criptografia parcial dos arquivos das vítimas, o método ajuda os operadores de ransomware a escapar dos sistemas de detecção e criptografar os arquivos das vítimas mais rapidamente”, conta a empresa, cuja tecnologia inclui prevenção, detecção, resposta e caça a ataques, com base em IA, em endpoints, contêineres, cargas de trabalho em nuvem e dispositivos IoT em uma única plataforma XDR autônoma.

Quem está usando

A SentinelOne analisou as várias gangues de ransomware que, recentemente, passaram a usar a criptografia intermitente na tentativa de evitar detecção e prevenção: Qyick, Agenda, BlackCat (ALPHV), PLAY e Black Basta. O LockFile foi um dos primeiros a usar o método.

A SentinelOne observou, no fim de agosto de 2022, um usuário chamado lucrostm, que anunciava um novo ransomware comercial chamado Qyick, em um popular fórum de crimes baseado no browser TOR. A empresa rastreou o usuário e constatou que ele é um fornecedor estabelecido com outras ferramentas maliciosas.

A oferta de ransomware Qyick, escrito em Go e com criptografia intermitente, é uma compra única, ao contrário do modelo de assinatura, que é o mais comum. O preço varia de 0,2 BTC (Bitcoins) a aproximadamente 1,5 BTC, dependendo do nível de personalização que o comprador exige. O comprador recebe um executável compilado com garantia: se o ransomware for detectado pelo software de segurança em até seis meses após a compra, o vendedor fornecerá uma nova amostra com desconto entre 60% e 80% do preço original. A descoberta sugere que a criptografia intermitente é uma tendência atual no cenário de ameaças de ransomware.

O Agenda Ransomware, detectado pela primeira vez em agosto de 2022, foi também escrito em Go e é usado principalmente para atingir organizações de saúde e educação, na África e na Ásia. O ransomware tem algumas opções de personalização, que incluem alterar as extensões de nome de arquivos criptografados, e a lista de processos e serviços a serem encerrados. E oferece suporte a vários modos de criptografia que o operador do ransomware pode configurar por meio da implementação criptográfica. A tela de ‘ajuda’ exibe os diferentes modos de criptografia disponíveis: pular etapa, porcentagem e rápido (skip-step, percent, and fast).

Ransomware-as-a-Service

O BlackCat (ou ALPHV) ganhou destaque no fim de 2021 e é o primeiro ransomware conhecido a ser escrito na linguagem de programação Rust. Os desenvolvedores por trás do BlackCat anunciaram seus serviços, pela primeira vez, no início de dezembro de 2021 em um fórum da Dark Web russa.

O grupo executa um programa de ransomware como serviço (RaaS), compartilha pagamentos de resgate com afiliados e usa um host à prova de balas (bulletproof hosting) em seus sites, bem como um mixador Bitcoin para anonimizar as transações.

É um dos primeiros a adotar esquemas de extorsão, como ameaçar as vítimas com ataques DDoS, vazar dados exfiltrados e intimidar funcionários e clientes de organizações vítimas caso não paguem resgate. Organizações e empresas em todo o mundo têm sido alvo do BlackCat. Em setembro de 2022, o BlackCat atacou a empresa estatal italiana de energia GSE.

O pesquisador Aleksandar Milenkoski, do SentinelLabs, fez engenharia reversa do ransomware BlackCat e delineou os diferentes modos de criptografia suportados por ele, a maioria dos quais implementa criptografia intermitente.

O ransomware PLAY é um novo participante na cena do ransomware e foi detectado pela primeira vez no fim de junho de 2022. O ransomware vitimou recentemente alvos de alto perfil, como o Tribunal de Córdoba, na Argentina, em agosto de 2022. A nota de resgate do PLAY consiste em uma única palavra – PLAY – e um endereço de e-mail de contato.

O Black Basta é um programa RaaS que surgiu em abril de 2022 com amostras de ransomware que datam de fevereiro de 2022. Ao que parece, o Black Basta emergiu da desintegração da operação Conti. O ransomware é escrito na linguagem de programação C++ e suporta Windows e Linux. Os operadores do Black Basta usam o esquema de extorsão dupla que ameaça as organizações vítimas com o vazamento de dados exfiltrados no site do grupo de ameaças Basta News, acessável pelo TOR, caso as vítimas não paguem resgate. Os principais alvos são organizações, principalmente de serviços públicos, tecnologia, finanças e manufatura, de todo o mundo. Mais de 20 organizações figuraram no Basta News, nas primeiras duas semanas de sua existência.

Gabriel Camargo estima que, em decorrência dos benefícios significativos para os cibercriminosos, como a praticidade de implementação, a criptografia intermitente continuará a ser adotada por mais grupos de ransomware. “Felizmente, o SentinelOne Singularity detecta totalmente esse tipo de ransomware”, finaliza o executivo.

Serviço
www.clm.international