Pour être plus discrets, ces rançongiciels chiffrent des fichiers de manière intermittente

Pour être plus discrets, ces rançongiciels chiffrent des fichiers de manière intermittente

Pour être plus furtifs, certains rançongiciels ne chiffrent plus la totalité des fichiers, mais seulement des segments. Repérée par le média Bleeping computer, cette tendance vient d’être détaillée dans un article de l’entreprise Sentinel Labs.

Selon Aleksandar Milenkoski et Jim Walter, les auteurs de l’article, de plus en plus de rançongiciels intègrent cette nouvelle fonctionnalité. Le chiffrement intermittent a un double avantage pour les cybercriminels. Il permet de chiffrer plus rapidement les fichiers de leurs victimes, un point important alors que le chiffrement des fichiers d’une cible est bien souvent une course de vitesse.

publicité

Plus furtifs

Le chiffrement intermittent permet également aux cybercriminels d’échapper aux systèmes de détection. Les méthodes basées sur une analyse statistique peuvent en effet être trompées, les résultats de la comparaison des fichiers chiffrés et non chiffrés présentant une similitude plus élevée que celles observées d’habitude dans des attaques par rançongiciel.

« Compte tenu des avantages significatifs pour les acteurs malveillants et de la facilité de mise en œuvre, nous estimons que le chiffrement intermittent continuera d’être adopté par davantage de familles de ransomwares », estiment les rédacteurs de l’article.

Il y a deux façons d’analyser cette nouvelle fonctionnalité. Cela montre que les développeurs de rançongiciels savent innover. Mais en creux, cela prouve également que les efforts de détection et de protection entravent leur action, les poussant à changer leurs méthodes.

LockFile, le précurseur

Repéré alors par l’entreprise Sophos, le rançongiciel LockFile avait été le premier à proposer cette fonctionnalité en juillet 2021. Mais selon les chercheurs de Sentinel Labs, d’autres familles de rançongiciels utilisent désormais également le chiffrement intermittent. Il s’agit de Qyick, Agenda, BlackCat, Play et Black Basta.

Le rançongiciel LockFile chiffre ainsi les fichiers avec un pas de 16 octets. Agenda, tout comme BlackCat, est lui configurable : l’utilisateur malveillant peut programmer un chiffrement intermittent de plusieurs manières différentes (saut dans le chiffrement ou pourcentage déterminé, par exemple).

Par contre, les chercheurs ont remarqué que les rançongiciels Play et Black Basta chiffraient les fichiers de manière automatique, en segmentant son chiffrement selon la taille des fichiers visés.

Leave a Reply

Your email address will not be published. Required fields are marked *