Ransomware fica mais rápido com ataques de criptografia “intermitente”

Uma nova tática vem sendo aplicada por algumas das principais quadrilhas de ransomware da atualidade como forma de reduzir drasticamente o tempo necessário para travamento dos arquivos. Por meio de criptografia “intermitente”, como foi chamada, os criminosos seriam capazes de causar o mesmo estrago, mas na metade do tempo, bloqueando apenas parte dos arquivos disponíveis nos sistemas de suas vítimas.

• O que é ransomware? Aprenda tudo sobre a ameaça e como removê-la
• 80% dos ataques de ransomware acontecem por falhas de configuração

O método vem sendo usado desde meados do ano passado por bandos como Black Basta, BlackCat, Qyick, Agenda e PLAY. Seria uma maneira de reduzir o período de intrusão nos sistemas e, também, a possibilidade de detecção, já que muitas plataformas de segurança confiam na visualização de um volume intenso de processamento como forma de impedir ataques, com um travamento parcial, também, consumindo menos recursos.

De acordo com os especialistas do SentinelLabs, laboratório de segurança digital que revelou o formato do ataque, a ideia é alternar entre conjuntos de 16 bytes de dados, travando um e saltando o volume seguinte. Assim, apontam os pesquisadores, seria possível reduzir pela metade o tempo necessário para bloquear um sistema completo, enquanto dano semelhante é causado a ele.

De acordo com publicações feitas pelo bando Qyick, que estaria vendendo esse método para interessados na realização de ataques, o ransomware intermitente teria sido programado em Golang, o que, por si só, já aumenta sua velocidade. Outras quadrilhas, como a Agenda e a BlackCat, oferecem esse formato de ataque como opção adicional para suas ferramentas de sequestro digital, o que também inclui configurações sobre qual porcentagem dos dados será travada, a busca por formatos ou padrões específicos e um modo automático que otimiza os golpes de acordo com as características dos sistemas da vítima.

Um exemplo recente de ataque desse tipo teria atingido os sistemas do poder judiciário da cidade de Córdoba, na Argentina, em golpe atribuído ao ransomware PLAY. Tanto este quando o malware da gangue Black Basta não trazem opções de customização, funcionando apenas em um modo automático que toma as decisões de acordo com o sistema em que o golpe está sendo realizado, de forma a fazer com que a ofensiva seja a mais destruidora possível no menor tempo.

De acordo com o Sentinal Labs, a expectativa é que mais quadrilhas adotem esse método no futuro próximo, já que ele, na visão dos especialistas, traz vantagens significativas sem nenhum ponto negativo. Enquanto o alerta trouxe detalhes técnicos sobre como cada sistema de criptografia intermitente funciona, servindo para análises e indicadores de comprometimento, ainda falta um detalhamento mais aprofundado sobre os danos causados aos sistemas após golpes dessa categoria, principalmente no que toca a capacidade de recuperação.

Fonte: SentinelLabs