LockFile Ransomware maakt gebruik van nieuwe versleutelingstechniek
Onderzoekers die samenwerken met beveiligingsbedrijf Sophos hebben een rapport gepubliceerd over een nieuwe vorm van ransomware, LockFile genaamd. Wat de nieuwe dreiging uniek maakt, is de manier waarop het bestanden op slachtoffersystemen versleutelt.
LockFile is een nieuwe naam in het malwarelandschap, die pas onlangs opkwam, kort na de ontdekking dat niet-gepatchte MS Exchange-servers kwetsbaar waren voor ProxyShell-aanvallen.
Het Sophos-team legt uit dat de nieuwe ransomware een versleutelingstechniek gebruikt die in het verleden nooit door een andere vorm van ransomware is gebruikt. De manier waarop LockFile bestanden versleutelt, wordt beschreven als "intermitterende versleuteling". Het rapport legt uit dat de malware "elke 16 bytes" van elk bestand versleutelt. Sophos legt verder uit dat deze methode het resulterende versleutelde bestand "statistisch zeer gelijkaardig" houdt aan de staat van het originele bestand.
Deze nieuwe benadering van versleuteling helpt LockFile sommige anti-ransomware tegenmaatregelen te misleiden, maar het is niet het enige ontwijkingshulpmiddel dat de ransomware gebruikt. LockFile gebruikt ook geheugen toegewezen I/O bij het versleutelen van bestanden. Dit houdt schijf-I/O tot een minimum beperkt en kan de kwaadaardige activiteit van LockFile verder onder de radar houden.
Uiteindelijk hoeft LockFile ook geen contact op te nemen met een commando- en controleserver voor communicatie. Dit maakt het nog moeilijker om de ransomware vroeg op een slachtoffersysteem te herkennen, omdat er geen traceerbare verdachte uitgaande verbindingen zijn.
LockFile gebruikt een legitieme Windows-tool genaamd Windows Management Interface of WMI - een opdrachtregeltool die wordt meegeleverd met elke release en installatie van moderne Windows. WMI wordt gebruikt om processen af te sluiten die verband houden met databasebeheer en virtualisatie. Dit zorgt er zowel voor dat de bestanden nu rijp zijn voor exploitatie als ook dat door het gebruik van WMI als tussenpersoon, niet meteen duidelijk wordt dat de legitieme processen werden afgesloten door de ransomware.
Sophos legde verder uit waarom de intermitterende encryptiemethode sommige verdedigingen voor de gek kan houden. De manier waarop dit werkt heeft te maken met een verificatiemethode genaamd "chi squared". Deze methode kent aan elk bestand een score toe. Als een bestand is versleuteld met andere soorten ransomware, zelfs degenen die alleen de eerste paar blokken van het bestand versleutelen, zal de chi-kwadraatscore aanzienlijk afwijken van het originele bestand. De intermitterende coderingsmethode produceert echter bestanden met chi-kwadraatscores die veel dichter bij de originele bestanden liggen.
