Το LockFile Ransomware χρησιμοποιεί νέα τεχνική κρυπτογράφησης
Οι ερευνητές που συνεργάζονται με την εταιρεία ασφάλειας Sophos δημοσίευσαν μια έκθεση σχετικά με ένα νέο είδος ransomware που ονομάζεται LockFile. Αυτό που κάνει τη νέα απειλή μοναδική είναι ο τρόπος κρυπτογράφησης αρχείων σε συστήματα θυμάτων.
Το LockFile είναι ένα νέο όνομα στο τοπίο κακόβουλου λογισμικού, το οποίο εμφανίστηκε μόλις πρόσφατα, λίγο μετά την ανακάλυψη ότι οι διακομιστές MS Exchange που δεν είχαν προσαρμοστεί ήταν ευάλωτοι σε επιθέσεις ProxyShell.
Η ομάδα Sophos εξηγεί ότι το νέο ransomware χρησιμοποιεί μια τεχνική κρυπτογράφησης που δεν χρησιμοποιήθηκε ποτέ από άλλο είδος ransomware στο παρελθόν. Ο τρόπος με τον οποίο το LockFile κρυπτογραφεί αρχεία περιγράφεται ως "διαλείπουσα κρυπτογράφηση". Η έκθεση εξηγεί ότι το κακόβουλο λογισμικό κρυπτογραφεί "κάθε 16 byte" κάθε αρχείου. Ο Sophos εξηγεί περαιτέρω ότι αυτή η μέθοδος διατηρεί το κρυπτογραφημένο αρχείο που προκύπτει "στατιστικά πολύ παρόμοιο" με την κατάσταση του αρχικού αρχείου.
Αυτή η νέα προσέγγιση στην κρυπτογράφηση βοηθά το LockFile να ξεγελάσει κάποια αντίμετρα αντι-ransomware, αλλά δεν είναι το μόνο εργαλείο αποφυγής που χρησιμοποιεί το ransomware. Το LockFile χρησιμοποιεί επίσης εισόδου/εξόδου χαρτογράφησης μνήμης κατά την κρυπτογράφηση αρχείων. Αυτό διατηρεί το δίσκο I/O στο ελάχιστο και μπορεί να διατηρήσει περαιτέρω την κακόβουλη δραστηριότητα του LockFile κάτω από το ραντάρ.
Τελικά, το LockFile επίσης δεν χρειάζεται να επικοινωνήσει με οποιοδήποτε είδος διακομιστή εντολών και ελέγχου για επικοινωνία. Αυτό καθιστά το ransomware ακόμη πιο δύσκολο να εντοπιστεί νωρίς σε ένα σύστημα θυμάτων, καθώς δεν υπάρχουν ανιχνεύσιμες ύποπτες εξερχόμενες συνδέσεις.
Το LockFile χρησιμοποιεί ένα νόμιμο εργαλείο Windows που ονομάζεται Windows Management Interface ή WMI - ένα εργαλείο γραμμής εντολών που συνοδεύεται από κάθε έκδοση και εγκατάσταση των σύγχρονων Windows. Το WMI χρησιμοποιείται για τον τερματισμό διαδικασιών που σχετίζονται με τη διαχείριση βάσεων δεδομένων και την εικονικοποίηση. Αυτό διασφαλίζει ότι τα αρχεία είναι πλέον ώριμα για εκμετάλλευση και επίσης ότι χρησιμοποιώντας το WMI ως ενδιάμεσο, δεν γίνεται αμέσως προφανές ότι οι νόμιμες διαδικασίες τερματίστηκαν από το ransomware.
Ο Sophos εξήγησε περαιτέρω γιατί η διαλείπουσα μέθοδος κρυπτογράφησης μπορεί να ξεγελάσει κάποιες άμυνες. Ο τρόπος που λειτουργεί αυτό έχει να κάνει με μια μέθοδο επαλήθευσης που ονομάζεται "τετράγωνο τσι". Αυτή η μέθοδος εκχωρεί σε κάθε αρχείο μια βαθμολογία. Εάν ένα αρχείο είναι κρυπτογραφημένο με άλλα είδη ransomware, ακόμη και αυτά που κρυπτογραφούν μόνο τα πρώτα μπλοκ του αρχείου, θα έχουν σημαντική απόκλιση στη βαθμολογία chi στο τετράγωνό του, σε σύγκριση με το αρχικό αρχείο. Ωστόσο, η μέθοδος διαλείπουσας κρυπτογράφησης παράγει αρχεία που έχουν βαθμολογίες τετραγώνου chi που είναι πολύ πιο κοντά στα αρχικά αρχεία.
