Mutación de ransomware: analistas advierten sobre un cifrado más veloz y que solo bloquea partes de un archivo

El secuestro de información, o “ransomware” mantiene sus preocupantes niveles de presencia en la región, y ya hablamos de una posible “mutación” en la aplicación de esta modalidad. De acuerdo con analistas, se ha incrementado una variante de secuestro informático que podría ser más peligrosa y actuar “bajo el radar” de los controles de datos.

Un reporte de SentinelLabs destaca la presencia del “cifrado intermitente”, una nueva manera de encriptar datos que, a diferencia del método tradicional que bloquea el acceso general en una unidad de almacenamiento, se dedica al cifrado segmentado de archivos.

“Este método de encriptación ayuda a los operadores de ransomware a evadir los sistemas de detección y encriptar los archivos de las víctimas más rápido”, señalan los autores del estudio. “Observamos que los desarrolladores de ransomware están adoptando cada vez más la función y publicitando intensamente el cifrado intermitente para atraer compradores o afiliados”.

Cómo se usa el cifrado intermitente

Esta tendencia viene siendo monitoreada desde mediados del 2021, y es un método que ha sido adoptado por distintos grupos de ciberdelincuentes como Black Basta, ALPHV, Agenda y Qyick, quienes promueven esta herramienta en el mercado negro como “RaaS” (ransomware como servicio, por sus siglas en inglés).

Básicamente, el malware es capaz de cifrar porciones de bytes de un archivo, sin necesidad de acceder a todo el recurso de datos y aplicando distintos porcentajes de intervención. Este cifrado parcial imposibilita el acceso al usuario con solo un número menor de datos encriptados.

En el caso de Agenda, usan un mecanismo de encriptación intermitente que puede personalizarse en base al tamaño del archivo a secuestrar y se basa en nomenclaturas que definen la acción del ransomware:

• skip-step [skip: N, step: Y]: cifra cada Y MB del archivo, omitiendo N MB.
• fast [f:N] - Cifra los primeros N megabytes del archivo.
• porcentaje [n: N; p:P]: cifra cada N megabytes del archivo, omitiendo P megabytes, donde P es igual a un porcentaje del tamaño total del archivo.

En el caso de Black Basta, se identificó una modalidad basada en el tamaño del archivo. Si el file a encriptar no supera los 704 bytes de tamaño, se bloquea completamente; mientras que para un archivo entre ese estimado y los 4KB se encriptan 64 bytes para omitir 192 bytes al medio.

¿Esto por qué? Pues, básicamente ganar tiempo. Al omitir cada 16 bytes de un archivo, por ejemplo, el proceso de encriptación en cada ataque demora hasta un 50% menos que un ransomware completo y bloquea los datos para siempre.

Además, este método no “salta” tanto ante los monitoreos de seguridad basados en detección automatizada de signos y procesos. Parte de estas nuevas acciones se desarrollan en software como Go, Rust o C++.

El cifrado intermitente crece

De acuerdo con Alejandro Milenkoski, investigador senior de amenazas en SentinelLabs, destaca el hecho de que esta tendencia se incrementará.

“Este método de encriptación ayuda a evadir algunos mecanismos de detección de ransomware y encripta los archivos de las víctimas más rápido. Dados los beneficios significativos para los actores de amenazas, además de ser prácticos de implementar, estimamos que más familias de ransomware seguirán adoptando el cifrado intermitente”, menciona en el artículo.