LockFile Ransomware verwendet eine neuartige Verschlüsselungstechnik

Forscher der Sicherheitsfirma Sophos haben einen Bericht über einen neuen Ransomware-Stamm namens LockFile veröffentlicht. Was die neue Bedrohung einzigartig macht, ist die Art und Weise, wie Dateien auf Opfersystemen verschlüsselt werden.

LockFile ist ein neuer Name in der Malware-Landschaft, der erst kürzlich aufgetaucht ist, kurz nachdem entdeckt wurde, dass ungepatchte MS Exchange-Server anfällig für ProxyShell-Angriffe waren.

Das Sophos-Team erklärt, dass die neue Ransomware eine Verschlüsselungstechnik verwendet, die in der Vergangenheit von keinem anderen Ransomware-Stamm verwendet wurde. Die Art und Weise, wie LockFile Dateien verschlüsselt, wird als "zeitweilige Verschlüsselung" bezeichnet. Der Bericht erklärt, dass die Malware "alle 16 Bytes" jeder Datei verschlüsselt. Sophos erklärt weiter, dass diese Methode die resultierende verschlüsselte Datei dem Zustand der Originaldatei "statistisch sehr ähnlich" hält.

Dieser neuartige Verschlüsselungsansatz hilft LockFile, einige Anti-Ransomware-Gegenmaßnahmen zu täuschen, aber es ist nicht das einzige Umgehungstool, das die Ransomware verwendet. LockFile verwendet beim Verschlüsseln von Dateien auch speicherabgebildete E/A. Dies hält die Datenträger-E/A auf einem Minimum und kann die böswilligen Aktivitäten von LockFile weiter unter dem Radar halten.

Letztendlich muss LockFile auch keine Art von Befehls- und Kontrollserver für die Kommunikation kontaktieren. Dies macht es noch schwieriger, die Ransomware frühzeitig auf einem Opfersystem zu erkennen, da es keine nachweisbaren verdächtigen ausgehenden Verbindungen gibt.

LockFile verwendet ein legitimes Windows-Tool namens Windows Management Interface oder WMI - ein Befehlszeilentool, das mit jeder Version und Installation von modernen Windows gebündelt wird. WMI wird verwendet, um Prozesse im Zusammenhang mit Datenbankverwaltung und Virtualisierung zu beenden. Dies stellt sowohl sicher, dass die Dateien nun reif für die Ausbeutung sind, als auch, dass durch die Verwendung von WMI als Vermittler nicht sofort klar wird, dass die legitimen Prozesse durch die Ransomware abgeschaltet wurden.

Sophos erklärte weiter, warum die intermittierende Verschlüsselungsmethode einige Abwehrmechanismen täuschen kann. Die Art und Weise, wie dies funktioniert, hat mit einer Überprüfungsmethode namens "Chi-Quadrat" zu tun. Diese Methode weist jeder Datei eine Punktzahl zu. Wenn eine Datei mit anderen Ransomware-Stämmen verschlüsselt wird, weisen selbst solche, die nur die ersten Blöcke der Datei verschlüsseln, eine deutliche Abweichung im Chi-Quadrat-Score im Vergleich zur Originaldatei auf. Die intermittierende Verschlüsselungsmethode erzeugt jedoch Dateien mit Chi-Quadrat-Werten, die viel näher an den Originaldateien liegen.