Les opérateurs de ransomwares ont mis au point une nouvelle méthode de cryptage qui rend le verrouillage des fichiers plus rapide et moins susceptible d’être remarqué par les antivirus (s’ouvre dans un nouvel onglet) et d’autres solutions de cybersécurité, ont découvert des chercheurs.
Selon les experts de SentinelLabs, un nombre croissant de ransomwares (s’ouvre dans un nouvel onglet) les opérateurs (dont Black Basta, BlackCat, PLAY et d’autres) ont commencé à adopter un processus appelé « chiffrement intermittent », chiffrant les fichiers partiellement, au lieu de complètement.
De cette façon, les fichiers sont toujours rendus inutiles (à moins que les propriétaires n’obtiennent une clé de décryptage), mais le processus de cryptage prend beaucoup moins de temps, les chercheurs ajoutant qu’ils s’attendent à ce que davantage de groupes adoptent la technique à l’avenir.
Approches multiples
Différents groupes abordent différemment le chiffrement intermittent. Certains ne chiffreront que les premiers octets d’un fichier. D’autres offriront plusieurs choix, laissant le soin aux déployeurs de rançongiciels de décider. Certains diviseront les fichiers en plusieurs morceaux et n’en chiffreront que certains. Mais quelle que soit l’option qu’ils choisissent, ils sont tous aussi dangereux, car cette technique les aide également à éviter les outils de protection des terminaux.
Comme l’ont expliqué les chercheurs, lors de la recherche de logiciels malveillants (s’ouvre dans un nouvel onglet), les outils de détection automatisés recherchent des opérations d’E/S de fichiers intenses. Comme le cryptage intermittent n’est pas si intense, il peut souvent voler sous le radar.
Le seul inconvénient possible de cette technique est que le cryptage partiel des fichiers pourrait faciliter la récupération des victimes.
Bien que certains chercheurs affirment que les ransomwares s’essoufflent, car les entreprises décident de ne pas payer et optent plutôt pour des protections et des sauvegardes, certains acteurs de la menace sont toujours assez actifs. La semaine dernière seulement, la nouvelle a annoncé que toutes les écoles de Los Angeles avaient subi une telle attaque, affectant 26 000 enseignants et 600 000 élèves. Cela a attiré l’attention de la Maison Blanche elle-même, alertant le ministère de l’Éducation, le FBI et la Cybersecurity and Infrastructure Security Agency (CISA) du ministère de la Sécurité intérieure.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)