Los ataques de ransomware utilizan cada vez más el cifrado intermitente

Se ha observado que varios grupos de ransomware implementaron una nueva táctica para encriptar los sistemas de sus víctimas más rápido. Este método nuevo permite a los atacantes limitar las posibilidades de ser detectados y detenidos. Se denomina cifrado intermitente, que incluye el cifrado solo de partes del contenido de los archivos objetivo. Esto dejaría […]

Se ha observado que varios grupos de ransomware implementaron una nueva táctica para encriptar los sistemas de sus víctimas más rápido. Este método nuevo permite a los atacantes limitar las posibilidades de ser detectados y detenidos.

Se denomina cifrado intermitente, que incluye el cifrado solo de partes del contenido de los archivos objetivo. Esto dejaría los datos inutilizables y reduciría drásticamente el tiempo de cifrado requerido.

Dado que el cifrado es parcial, se espera que las herramientas de detección automatizadas que en su mayoría detectan signos de problemas en forma de operaciones de E/S de archivos sean inútiles.

El uso de cifrado intermitente con malware escrito en lenguaje Go, que es un lenguaje independiente de la plataforma, acelera el proceso de cifrado.

En diversos medios ronda un informe con afirmaciones de que el grupo de ransomware LockFile comenzó a usar esta nueva táctica a mediados de 2021.

La táctica también la están utilizando las pandillas de ransomware Black Basta, PLAY, Agenda, Qyick y ALPHV (BlackCat).

Estos grupos están promoviendo tácticas de encriptación intermitente para atraer a potenciales nuevos afiliados -para que se unan a las operaciones de RaaS-.

Por ejemplo, el ransomware Agenda ofrece una función de cifrado intermitente como una configuración opcional y configurable para sus afiliados. Lo mismo es seguido por BlackCat ransomware.