Ransomware-Gangs und die “ neue „Intermittierende Verschlüsselung“-Taktik

Während Ransomware-Banden nach neuen Wegen suchen, um ihre Performance zu verbessern, hat diese relativ neue Verschlüsselungstaktik in mehreren Ransomware-Familien an Popularität gewonnen.

Wenn Sie ein Entwickler von Ransomware-Software wären, was wären Ihre beiden größten Verbesserungsziele für Ihre Software, die dazu beitragen, einen größeren Erfolg beim Erhalt einer Lösegeldzahlung zu erzielen? Ich würde vermuten, dass die Erkennung und eine schnellere Verschlüsselungsgeschwindigkeit vermieden werden – alles, um sicherzustellen, dass die maximale Datenmenge verschlüsselt wird, bevor Bemühungen zur Reaktion auf Vorfälle stattfinden können.

Laut den Sicherheitsforschern von Sentinel Labs hat eine Taktik, die erstmals Mitte 2021 gesehen wurde, bei Ransomware-Banden zugenommen. Diese Taktik, die als intermittierende Verschlüsselung bezeichnet wird, verschlüsselt nur einen Teil einer Datei, aber gerade genug, um sie nutzlos zu machen. Es gibt drei Modi, die in freier Wildbahn zu sehen sind:

  • Skip-Step – dieser „schrittt“ durch und verschlüsselt eine bestimmte Anzahl von MB und „überspringt“ dann eine andere Anzahl von MBs
  • Prozent – wie Skip-Step, aber ein Prozent der Datei überspringen, anstatt eine bestimmte Anzahl von MBs
  • Schnell – Verschlüsselt die ersten X MB einer Datei

Eine Reihe von Ransomware-Familien haben diese Methode kürzlich eingeführt, darunter Qyick, Agenda, BlackCat, PLAY und Black Basta.

Der Vorteil der Verwendung einer solchen Verschlüsselungsmethode besteht darin, dass sie dazu beiträgt, die beiden zuvor genannten Ziele zu erreichen: Da sie nur einen Teil der Datei verschlüsselt, können mehr Daten in der gleichen Zeit verschlüsselt werden. Und da der Prozess weniger plattenintensiv ist, ist es weniger wahrscheinlich, dass Warnungen basierend auf der Festplattennutzung ausgelöst werden.

Die Warnung hier ist, dass, da sich diese Methode bei der Verschlüsselung einer Umgebung als erfolgreich erweist, mehr Ransomware-Familien sie übernehmen werden, was Ransomware noch gefährlicher macht und es für Unternehmen notwendiger ist, das Security Awareness Training zu nutzen, um Benutzer darüber aufzuklären, wie Social Engineering sowohl bei web- als auch bei E-Mail-basierten Angriffen erkennt.

Kostenloses Ransomware-Simulator-Tool

Bedrohungsakteure kommen ständig mit neuen Varianten heraus, um der Erkennung zu entgehen. Blockiert Ihr Netzwerk effektiv alle von ihnen, wenn Mitarbeiter auf Social-Engineering-Angriffe hereinfallen?

„RanSim“ von KnowBe4 gibt Ihnen einen schnellen Einblick in die Wirksamkeit Ihres bestehenden Netzwerkschutzes. RanSim simuliert 22 Ransomware-Infektionsszenarien und 1 Kryptomining-Infektionsszenario und zeigt Ihnen, ob eine Workstation anfällig ist.

Und so funktioniert’s:

  • 100% harmlose Simulation von echten Ransomware- und Cryptomining-Infektionen
  • Verwendet keine eigenen Dateien
  • Testet 23 Arten von Infektionsszenarien
  • Laden Sie einfach die Installation herunter und führen Sie sie aus
  • Ergebnisse in wenigen Minuten!

Hier kommen Sie zum Ransomeware Simulator

Recommended Posts