Ransomware chuyển chiến thuật mã hóa mới: Nhanh hơn, khó phát hiện và ngăn chặn hơn
Ngày càng nhiều ransomware chuyển sang chiến thuật mã hóa mới, việc mã hóa sẽ nhanh hơn cũng như giảm nguy cơ phát hiện và ngăn chặn bởi các chương trình an ninh mạng.
Chiến thuật này được gọi là mã hóa không liên tục hay mã hóa gián đoạn. Thay vì mã hóa toàn bộ nó chỉ mã hóa một phần nội dung của file. Việc này vẫn đảm bảo không thể khôi phục nếu không có bộ giải mã và key của ransomware.
Chiến thuật này được gọi là mã hóa không liên tục hay mã hóa gián đoạn. Thay vì mã hóa toàn bộ nó chỉ mã hóa một phần nội dung của file. Việc này vẫn đảm bảo không thể khôi phục nếu không có bộ giải mã và key của ransomware.
Ví dụ: Ransomware lần lượt mã hóa 16 byte và bỏ qua 16 byte tiếp theo. Việc mã hóa sẽ nhanh hơn, cường độ đọc ghi vào file sẽ ít hơn, giảm nguy cơ phát hiện của các chương trình an ninh mạng.
Chiến thuật mà các ransomware sử dụng
SentinelLabs đã đăng một báo cáo chiến thuật giữa năm 2021 của các ransomware như Black Basta, ALPHV (BlackCat), PLAY, Agenda, Qyick.
Ransomware Qyick: Dưới đây là mô tả tính năng của ransomware trên một diễn đàn đề cập đến tính năng mã hóa không liên tục
Ransomware Qyick: Dưới đây là mô tả tính năng của ransomware trên một diễn đàn đề cập đến tính năng mã hóa không liên tục
Ransomware Agenda: Cung cấp tính năng mã hóa không liện tục như một tùy chọn và có thể cấu hình với 3 tùy chọn sau:
- Mã hóa Y MB của file, bỏ qua N MB.
- Mã hóa N MB đầu tiên của file.
- Mã hóa N MB của file, bỏ qua P MB, trong đó P là % của tổng kích thước file.
Ransomware BlackCat's: Cung cấp các tùy chọn mã hóa như: mã hóa N byte đầu tiên, mã hóa theo phần trăm tổng kích thước file, chế độ tự động kết hợp nhiều cách mã hóa khác nhau khiến kết quả lộn xộn hơn.
Ransomware PLAY: Được biết đến gần đây thông qua cuộc tấn công nhắm vào Cơ quan Tư Pháp Argentina sử dụng cách mã hóa không liên tục. Nó không cung cấp cấu hình, thay vào đó chia file thành 2,3 hoặc 5 phần khác nhau tùy thuộc vào kích thước file và mã hóa một số phần trong số đó.
Ransomware Black Basta: Đây là một trong những ransomware "khét tiếng". Nó không cung cấp tùy chọn mà quyết đích cách mã hóa thông qua kích thước file. Đối với các file kích thước nhỏ hơn 704byte, nó sẽ mã hóa toàn bộ file. Đối với file kích thước từ 704byte đến 4KB, nó sẽ mã hóa 64byte và bỏ qua 192byte ở giữa. Đối với file lớn hơn 4KB, nó vẫn mã hóa 64byte và bỏ qua 128byte.
Ransomware PLAY: Được biết đến gần đây thông qua cuộc tấn công nhắm vào Cơ quan Tư Pháp Argentina sử dụng cách mã hóa không liên tục. Nó không cung cấp cấu hình, thay vào đó chia file thành 2,3 hoặc 5 phần khác nhau tùy thuộc vào kích thước file và mã hóa một số phần trong số đó.
Ransomware Black Basta: Đây là một trong những ransomware "khét tiếng". Nó không cung cấp tùy chọn mà quyết đích cách mã hóa thông qua kích thước file. Đối với các file kích thước nhỏ hơn 704byte, nó sẽ mã hóa toàn bộ file. Đối với file kích thước từ 704byte đến 4KB, nó sẽ mã hóa 64byte và bỏ qua 192byte ở giữa. Đối với file lớn hơn 4KB, nó vẫn mã hóa 64byte và bỏ qua 128byte.
Xu hướng của mã hóa không liên tục
Mã hóa không liên tục dường như không có điểm yếu, tốc độ mã hóa nhanh, khó có thể khôi phục dữ liệu. Các chuyên gia nhận định sẽ có nhiều ransomware sử dụng cách này trong thời gian tới.
Hiện tại, cách triển khai của ransomware BlackCat là phức tạp nhất, trong khi Qyick vẫn là một dấu hỏi vì các nhà phân tích phần mềm độc hại vẫn chưa có lời giản cho các mẫu RaaS mới.
Nguồn: bleepingcomputer
Chỉnh sửa lần cuối bởi người điều hành: