Giderek artan sayıda fidye yazılımı grubu, tespit edilme ve durdurulma şansını azaltırken kurbanlarının sistemlerini daha hızlı şifrelemelerine yardımcı olan yeni bir taktik benimsiyor.
Bu taktiğe aralıklı şifreleme denir ve hedeflenen dosyaların içeriğinin yalnızca bir kısmını şifrelemekten oluşur, bu da verileri geçerli bir şifre çözücü+anahtar kullanmadan kurtarılamaz hale getirir.
Örneğin, bir dosyanın diğer 16 baytını atlayarak, şifreleme işlemi tam şifreleme için gereken sürenin neredeyse yarısını alır, ancak yine de içeriği tamamen kilitler.
Ek olarak, şifreleme daha hafif olduğundan, yoğun dosya IO işlemleri biçimindeki sorun belirtilerini algılamaya dayanan otomatik algılama araçlarının başarısız olma olasılığı daha yüksektir.
“Harika çocuklar ne kullanır.”
Sentinel Laboratuvarları 2021’in ortalarında LockFile tarafından başlatılan ve şimdi benzerleri tarafından benimsenen bir eğilimi inceleyen bir rapor yayınladı. Siyah BastaALPHV (Kara kedi), OYNAT, Gündem ve Qyick.
Bu gruplar, bağlı kuruluşları RaaS operasyonuna katılmaya ikna etmek için fidye yazılımı ailelerinde aralıklı şifreleme özelliklerinin varlığını aktif olarak teşvik eder.
Bilgisayar korsanlığı forumlarındaki bir Qyick reklamı, “Özellikle, Qyick, siz bunu okurken havalı çocukların kullandığı aralıklı şifreleme özelliğine sahiptir. Go’da yazıldığı gerçeğiyle birleştiğinde, hız eşsizdir” diyor.
Ajanda fidye yazılımı, isteğe bağlı ve yapılandırılabilir bir ayar olarak aralıklı şifreleme sunar. Üç olası kısmi şifreleme modu şunlardır:
- atlama adımı [skip: N, step: Y] – N MB atlayarak dosyanın her Y MB’sini şifreleyin.
- hızlı [f: N] – Dosyanın ilk N MB’sini şifreleyin.
- yüzde [n: N; p:P] – Dosyanın her N MB’sini şifreleyin, P MB’yi atlayın, burada P, toplam dosya boyutunun %P’sine eşittir.
BlackCat’in aralıklı şifreleme uygulaması, operatörlere çeşitli bayt atlama modelleri biçiminde yapılandırma seçenekleri de sunar.
Örneğin, kötü amaçlı yazılım bir dosyanın yalnızca ilk baytlarını şifreleyebilir, bir nokta düzenini, dosya bloklarının yüzdesini izleyebilir ve ayrıca daha karışık bir sonuç için birden çok modu birleştiren bir “otomatik” moda sahiptir.
PLAY fidye yazılımının son zamanlarda yüksek profilli bir saldırı yoluyla ortaya çıkması Arjantin’in Cordoba Yargısı ayrıca aralıklı şifrelemenin hızıyla da destekleniyordu.
PLAY yapılandırma seçenekleri sunmaz, bunun yerine dosyayı dosya boyutuna bağlı olarak 2, 3 veya 5 parçaya böler ve ardından diğer tüm parçaları şifreler.
Son olarak, şu anda alandaki en büyük isimlerden biri olan Black Basta, operatörlere modlar arasında seçim yapma seçeneği de sunmuyor, çünkü türü dosya boyutuna göre ne yapılacağına karar veriyor.
704 baytın altındaki küçük dosyalar için tüm içeriği şifreler. 704 bayt ile 4 KB arasındaki dosyalar için 64 baytı şifreler ve aradaki 192 baytı atlar.
Dosya boyutu 4 KB’yi aşarsa, Black Basta’nın fidye yazılımı, dokunulmamış aralıkların alan boyutunu 128 bayta düşürürken, şifreli bölümün boyutu 64 bayt olarak kalır.
Aralıklı şifreleme görünümü
Aralıklı şifrelemenin önemli avantajları ve neredeyse hiç dezavantajı yok gibi görünüyor, bu nedenle güvenlik analistleri kısa süre içinde daha fazla fidye yazılımı çetesinin bu yaklaşımı benimsemesini bekliyor.
LockBit’in türü zaten oradaki en hızlı şifreleme hızları açısından, yani çete kısmi şifreleme tekniğini benimserse, saldırılarının süresi birkaç dakikaya inecekti.
Elbette, şifreleme karmaşık bir konudur ve kurbanlar tarafından kolay veri kurtarma ile sonuçlanmamasını sağlamak için aralıklı şifrelemenin uygulanması doğru bir şekilde yapılmalıdır.
Şu anda, BlackCat’in uygulaması en karmaşık olanıdır, kötü amaçlı yazılım analistleri henüz yeni RaaS örneklerini analiz etmediğinden Qyick’inki bilinmemektedir.