Cresce o uso de criptografia intermitente, nova arma do cibercrime para sequestrar dados

Cresce o uso de criptografia intermitente, nova arma do cibercrime para sequestrar dados

Você já ouviu falar em ransomware com criptografia intermitente? Pois é, este é um novo truque que os cibercriminosos inventaram para escapar dos sistemas de detecção. Inclusive, os “desenvolvedores” do artifício, além de adotar o recurso, que apareceu no fim de 2021, divulgam a novidade criminosa na dark web tanto para atrair afiliados como para comercializá-la. Desde então, um número crescente de operações de ransomware usa a manobra, o que mostra que esta é uma tendência no mundo do cibercrime. O mercado negro, cresce, se profissionaliza e nele corre muito dinheiro.

A constatação foi feita pela SentinelOne, solução de cibersegurança baseada em inteligência artificial que abrange desde a prevenção, a detecção, a resposta e a caça aos ataques. De acordo com Gabriel Camargo, diretor de produtos da CLM, que distribui a tecnologia da SentinelOne na América Latina, a modalidade criminosa é mais eficiente porque agiliza a encriptação dos dados da vítima, causando danos irrecuperáveis em um período muito curto.

“Além disso, ao contrário da criptografia completa, a intermitente ajuda a evitar análises estatísticas, que avaliam a intensidade das operações de I/O (entrada e saída) de arquivos, inclusive por semelhança entre versões criptografadas, ao exibir intensidade significativamente menor dessas operações e, portanto, escapando de sistemas de detecção convencionais”, alerta Camargo.

A SentinelOne explica que a criptografia intermitente é, de fato, uma nova tendência no cenário do ransomware. “Também chamada de criptografia parcial dos arquivos das vítimas, o método ajuda os operadores de ransomware a escapar dos sistemas de detecção e criptografar os arquivos das vítimas mais rapidamente”, conta a empresa, cuja tecnologia inclui prevenção, detecção, resposta e caça a ataques, com base em IA, em endpoints, contêineres, cargas de trabalho em nuvem e dispositivos IoT em uma única plataforma XDR autônoma.

Análise: inúmeros grupos de ransomware passaram a usar esse método

A SentinelOne analisou as várias famílias de ransomware que, recentemente, passaram a usar a criptografia intermitente na tentativa de evitar detecção e prevenção: Qyick, Agenda, BlackCat (ALPHV), Play e Black Basta.

O LockFile foi uma das primeiras grandes famílias de ransomware a usar o método.

A SentinelOne observou, no fim de agosto de 2022, um usuário chamado lucrostm, que anunciava um novo ransomware comercial chamado Qyick, em um popular fórum de crimes baseado no browser TOR. A empresa rastreou o usuário e constatou que ele é um fornecedor estabelecido com outras ferramentas maliciosas.

A oferta de ransomware Qyick, escrito em Go e com criptografia intermitente, é uma compra única, ao contrário do modelo de assinatura, que é o mais comum. O preço varia de 0,2 BTC (Bitcoins) a aproximadamente 1,5 BTC, dependendo do nível de personalização que o comprador exige. O comprador recebe um executável compilado com garantia: se o ransomware for detectado pelo software de segurança em até seis meses após a compra, o vendedor fornecerá uma nova amostra com desconto entre 60% e 80% do preço original. A descoberta sugere que a criptografia intermitente é uma tendência atual no cenário de ameaças de ransomware.