Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon Diferentes técnicas de cifrado de archivos utilizadas por grupos de ransomware para evadir deteccion


Se observa una nueva tendencia en la escena del ransomware: cifrado intermitente o parcial de los archivos de las víctimas. Este método de cifrado ayuda a los operadores de ransomware a evadir los sistemas de detección y cifrar los archivos de las víctimas más rápido. Los desarrolladores de ransomware están adoptando cada vez más la función y publicitando intensamente el cifrado intermitente para atraer compradores o afiliados.




Cifrado intermitente

El cifrado intermitente es importante para los operadores de ransomware desde dos perspectivas:

  • Velocidad : el cifrado puede ser un proceso que requiere mucho tiempo y el tiempo es crucial para los operadores de ransomware: cuanto más rápido cifren los archivos de las víctimas, es menos probable que los detecten y los detengan en el proceso. El cifrado intermitente provoca daños irreparables en un período de tiempo muy breve.
  • Evasión : los sistemas de detección de ransomware pueden usar análisis estadísticos para detectar la operación de ransomware. Dicho análisis puede evaluar la intensidad de las operaciones de I/O de archivos o la similitud entre una versión conocida de un archivo, que no ha sido afectada por ransomware, y una versión cifrada y supuestamente modificada del archivo. En contraste con el cifrado completo, el cifrado intermitente ayuda a evadir dichos análisis al exhibir una intensidad significativamente menor de operaciones de I/O de archivos y una similitud mucho mayor entre las versiones cifradas y no cifradas de un archivo determinado.

A mediados de 2021, el ransomware LockFile fue una de las primeras familias importantes de ransomware en utilizar el cifrado intermitente para evadir los mecanismos de detección, cifrando cada 16 bytes de un archivo. Desde entonces, un número cada vez mayor de operaciones de ransomware se han sumado a la tendencia.

En esta publicación, revisamos varias familias de ransomware recientes que cuentan con cifrado intermitente en un intento de evadir la detección y la prevención: Qyick, Agenda, BlackCat (ALPHV), PLAY y Black Basta.

Qyick Ransomware

A finales de agosto de 2022, observamos a un usuario llamado lucrostm anunciando un nuevo ransomware comercial llamado Qyick en un popular foro de delincuencia basado en TOR. Hacemos un seguimiento del mismo usuario que un proveedor establecido de otras herramientas maliciosas, incluidas herramientas de acceso remoto y cargadores de malware.

La oferta de Qyick ransomware es una compra única, a diferencia del modelo de suscripción más común. El precio oscila entre 0,2 BTC y aproximadamente 1,5 BTC, según el nivel de personalización que requiera el comprador. El comprador recibe un ejecutable compilado con garantía: si el software de seguridad detecta el ransomware dentro de los 6 meses posteriores a la compra, el autor proporcionará una nueva muestra con un descuento de entre el 60% y el 80% del precio original.

Qyick está escrito en Go y cuenta con cifrado intermitente. lucrostm afirma que la velocidad aparente del ransomware Qyick se logra mediante el uso del cifrado intermitente y la implementación del ransomware en Go, lo que sugiere la tendencia actual de cifrado  intermitente en la escena de amenazas de ransomware.

“Notablemente, Qyick presenta cifrado intermitente, que es lo que los chicos geniales están usando mientras lees esto. Combinado con el hecho de que está escrito en go, la velocidad es inigualable”.



La forma exacta en que Qyick realiza el cifrado intermitente está abierta a investigación a medida que haya muestras disponibles.

La versión actual de Qyick no tiene capacidades de exfiltración de datos. Sin embargo, lucrostm ha anunciado que las versiones futuras contarán con la ejecución de código ejecutable arbitrario, destinado principalmente a la ejecución de capacidades de exfiltración de datos.

Agenda Ransomware

El ransomware Agenda, detectado por primera vez en agosto de 2022, está escrito en Go y se ha utilizado principalmente para atacar a organizaciones de salud y educación en África y Asia. El ransomware tiene algunas opciones de personalización, que incluyen cambiar las extensiones de nombre de archivo de los archivos cifrados y la lista de procesos y servicios para terminar.

El ransomware Agenda admite varios modos de cifrado que el operador del ransomware puede configurar a través de la configuración de cifrado. La pantalla de ‘ayuda’ muestra los diferentes modos de cifrado disponibles: skip-steppercentfast.



El análisis de Agenda reveló la siguiente información sobre cada modo.

Modo de cifradoDescripción
saltar-paso [saltar: N, paso: Y]Cifre cada Y MB del archivo, omitiendo N MB.
rápido [f:n]Cifre los primeros N MB del archivo.
porcentaje [n: N; páginas]Cifre cada N MB del archivo, omitiendo P MB, donde P es igual a P% del tamaño total del archivo.

BlackCat (ALPHV), el primer Ransomware-As-A-Service escrito en Rust

El ransomware BlackCat (o ALPHV) saltó a la fama a finales de 2021 y es el primer ransomware conocido escrito en el lenguaje de programación Rust. Los desarrolladores detrás de BlackCat fueron vistos por primera vez anunciando sus servicios a principios de diciembre de 2021 en un foro clandestino ruso.



El grupo de amenazas ALPHV ejecuta un programa de ransomware como servicio (RaaS) y comparte pagos de rescate con afiliados. ALPHV utiliza alojamiento a prueba de balas para alojar sus sitios web y un mezclador de Bitcoin para anonimizar las transacciones.

El grupo de amenazas ALPHV es uno de los primeros en adoptar esquemas de extorsión, como amenazar a las víctimas con ataques DDoS, filtrar datos extraídos en línea e intimidar a los empleados y clientes de las organizaciones víctimas si no pagan el rescate. Las principales organizaciones y empresas han sido el objetivo del ransomware BlackCat en todo el mundo. Por ejemplo, en septiembre de 2022, el ransomware BlackCat apuntó a la empresa estatal de servicios energéticos de Italia, GSE.

Un estudio de evaluación que sometió archivos de diferentes tamaños (50 MB, 500 MB, 5 GB y 50 GB) al ransomware BlackCat reveló que el uso de cifrado intermitente puede ser de gran beneficio para los actores de amenazas. Por ejemplo, en contraste con el cifrado completo, el cifrado de archivos con el Automodo de cifrado de archivos resultó en una reducción notable del tiempo de procesamiento del reloj de pared a partir de un tamaño de archivo de 5 GB (8,65 segundos) y una reducción máxima en el tiempo de procesamiento del reloj de pared de 1,95 minutos con un tamaño de archivo de 50 GB. El tiempo de procesamiento de Wallclock es el tiempo total de Wallclock (en segundos) que el ransomware dedica a procesar un archivo, lo que incluye leer, cifrar y escribir el contenido del archivo. Los resultados completos de este estudio se presentarán en la Conferencia VirusBulletin 2022 .

BlackCat incluye alguna lógica interna para maximizar la velocidad de cifrado. El ransomware cifra los archivos utilizando el algoritmo de cifrado del Estándar de cifrado avanzado (AES) si la plataforma de la víctima implementa la aceleración de hardware AES. De lo contrario, el ransomware recurre al algoritmo ChaCha20 que está completamente implementado en el software.

PLAY Ransomware

El ransomware PLAY es un nuevo participante en la escena del ransomware y se detectó por primera vez a fines de junio de 2022. El ransomware ha victimizado recientemente a objetivos de alto perfil, como la Corte de Córdoba en Argentina en agosto de 2022. La nota de rescate de PLAY consta de una sola palabra – PLAY – y una dirección de correo electrónico de contacto.

A diferencia de Agenda y BlackCat, el ransomware PLAY no presenta modos de cifrado que el operador pueda configurar. PLAY organiza el cifrado intermitente según el tamaño del archivo que se está cifrando, cifrando fragmentos (porciones de archivo) de 0x100000 bytes. Por ejemplo, investigaciones anteriores afirman que, bajo ciertas condiciones, el ransomware PLAY cifra:

  • 2 fragmentos, si el tamaño del archivo es menor o igual a 0x3ffffffff bytes;
  • 3 fragmentos, si el tamaño del archivo es menor o igual a 0x27ffffffff bytes;
  • 5 fragmentos, si el tamaño del archivo es superior a 0x280000000 bytes.

Black Basta Ransomware

Black Basta es un programa RaaS que surgió en abril de 2022 con muestras de ransomware que datan de febrero de 2022. La inteligencia actual indica que Black Basta surgió de las cenizas desmoronadas de la operación Conti . El ransomware está escrito en el lenguaje de programación C++ y es compatible con los sistemas operativos Windows y Linux. Los operadores de Black Basta utilizan el esquema de doble extorsión que amenaza a las organizaciones de víctimas con la filtración de datos exfiltrados en el sitio web basado en TOR del grupo de amenazas, Basta News, en caso de que las víctimas no paguen el rescate.

Black Basta está ganando terreno rápidamente en la escena del ransomware y se dirige a las principales organizaciones a nivel mundial: la operación de ransomware informó sobre más de 20 organizaciones víctimas en Basta News en las primeras dos semanas de su existencia. La orientación, especialmente al principio, se centró principalmente en las industrias de servicios públicos, tecnología, finanzas y manufactura. Por ejemplo, el principal fabricante alemán de materiales de construcción Knauf sufrió un ataque realizado por afiliados de Black Basta a fines de junio de 2022.

Al igual que el ransomware PLAY, Black Basta no presenta modos de encriptación que el operador del ransomware pueda configurar, sino que orquesta la encriptación intermitente según el tamaño del archivo encriptado. Black Basta encripta:

  • todo el contenido del archivo, si el tamaño del archivo es inferior a 704 bytes;
  • cada 64 bytes, comenzando desde el principio del archivo, saltándose 192 bytes, si el tamaño del archivo es inferior a 4 KB;
  • cada 64 bytes, comenzando desde el principio del archivo, saltándose 128 bytes, si el tamaño del archivo es mayor a 4 KB.

Fuentes:
https://www.sentinelone.com/labs/crimeware-trends-ransomware-developers-turn-to-intermittent-encryption-to-evade-detection/

https://www.bleepingcomputer.com/news/security/ransomware-gangs-switching-to-new-intermittent-encryption-tactic/

https://blog.ehcgroup.io/2022/09/13/10/23/37/13899/diferentes-tecnicas-de-cifrado-de-archivos-utilizadas-por-bandas-de-ransomware-en-2022-para-evadir-la-deteccion/seguridad-informatica/ransonware/ehacking/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.