 |
|
|
Sophos reveló en una reciente investigación la forma en que los operadores detrás del ransomware LockFile cifran los archivos vulnerados en paquetes de 16 bytes, para evadir la detección de amenazas.
Los investigadores de Sophos llamaron a este novedoso enfoque “cifrado intermitente”, ya que ayuda al ransomware a evitar que se activen las señales de alerta en los equipos de ciberseguridad, debido a que los archivos cifrados se ven estadísticamente muy similares a su original. Esta es la primera vez que los investigadores de Sophos han visto este enfoque utilizado en ransomware.
“Los operadores de ransomware utilizan generalmente el cifrado parcial para acelerar el proceso de cifrado y hemos visto que BlackMatter, DarkSide y LockBit 2.0 implementan esta técnica”, dijo Mark Loman, Director de Ingeniería de Sophos. “Lo que distingue a LockFile es que, a diferencia de los demás, no cifra los primeros bloques. En cambio, cifra los 16 bytes restantes de un documento. Esto significa que un archivo, como un documento de texto, permanece parcialmente legible y se parece estadísticamente al original. Este truco puede tener éxito contra el software de detección de ransomware que se basa en inspeccionar el contenido mediante análisis estadístico para detectar el cifrado”.
El especialista señala que los operadores detrás de LockFile se han mostrado muy ansiosos por utilizar este enfoque para aprovechar las vulnerabilidades recientemente dadas a conocer, como los errores ProxyShell. Por ello, desde Sophos indican que el panorama de las amenazas cibernéticas nunca se detiene y los adversarios aprovecharán rápidamente todas las oportunidades o herramientas posibles para lanzar un ataque.
Otro hallazgo clave de la investigación es que el ransomware LockFile utiliza un proceso relativamente poco común conocido como “entrada/salida (E/S) mapeada en memoria”. Esta técnica permite que el ransomware cifre de forma invisible los documentos y los almacena en caché de la memoria de la computadora, sin crear tráfico detectable para las soluciones de ciberseguridad. Esta técnica también ha sido utilizada por WastedLocker y Maze.
A diferencia de otras amenazas dirigidas por humanos, LockFile no necesita conectarse a un centro de comando y control para comunicarse. Esto le ayuda a mantener la actividad de ataque bajo el radar de detección durante el mayor tiempo posible. Una vez que ha cifrado todos los documentos en la máquina, se borra. Esto significa que, después del ataque, no hay un código binario de ransomware que el software de protección de endpoints pueda encontrar o limpiar. Adicionalmente, LockFile evita encriptar cerca de 800 archivos diferentes por extensión, lo que vuelve más confuso el trabajo para los equipos de ciberseguridad.
|
