Egy nemrég felfedezett ransomware különböző technikákat alkalmaz, hogy elkerülje a biztonsági eszközökkel való észlelést. A brit Sophos kiberbiztonsági cégnek sikerült felfednie, hogy a LockFile zsarolóvírus-család az első, amely az úgynevezett szakaszos (intermittáló) titkosítási technikát használ a felismerés elkerülésére.
A Symantec augusztus 20-án jelentette, hogy a LockFile legalább július 20-a óta veszi ccélba a termelő, pénzügyi szolgáltatási, mérnöki, jogi, üzleti szolgáltatási, valamint utazási és turisztikai szektorban működő ccégeket. Az arizonai kiberbiztonsági társaság azonban korlátozott információt nyújtott arról, hogy a LockFile hogyan terjed, vagy hogyan titkosította ténylegesen az áldozatok fájljait.
Kevin Beaumont biztonsági kutató ezután felfedte, hogy a LockFile kihasználta a ProxyShell-t, a Microsoft Exchange sebezhetőségekből álló csomagot, amelyet Orange Tsai, a Devcore kutatója fedett fel a Pwn2Own komputer hackelő versenyyen idén áprilisban. Ez némi betekintést nyújtott abba, hogy a zsarolóprogram hogyan teszi lehetővé a PetitPotam támadást, amelyet a szerverek átvételére használ.
A nyilvánosságra hozott sebezhetőségeket kihasználó ransomware az Exchange-kiszolgálók elleni jól ismert támadás végrehajtásában nem hozott különösebben újat. Ekkor jelent meg a Sophos, és közölte, hogy a LockFile az első olyan zsarolóprogram a praxiusukban, amely szakaszos titkosítást alkalmaz, hogy a biztonsági eszközök ne észleljék a tevékenységét.
"Az intermittáló titkosítás segít a ransomware-nek elkerülni, hogy észleljék a zsarolóprogramok ellen kifejlesztett eszközök mivel a titkosított dokumentum statisztikailag nagyon hasonlít a titkosítatlan eredetire" - közölte a Sophos. Ez azt jelenti, hogy a LockFile anélkül titkosíthatja áldozatai fájljait, hogy aggódnia kellene a biztonsági eszközök miatt.
A Sophos így magyarázta el, hogy mi az újdonság a LockFile titkosítási módszerében:
"Egy 481 KB méretű titkosítatlan szöveges fájl (mondjuk egy könyv) chi^2 pontszáma 3850061. Ha a dokumentumot DarkSide zsarolóprogrammal titkosították volna, akkor a chi^2 pontszám 334 lenne, ami egyértelműen jelzi, hogy a dokumentumot titkosították. Ha ugyanezt a dokumentumot a LockFile zsarolóprogram titkosította, akkor is jelentősen magas, 1789811-es chi^2 pontszáma van. [...] Ez a trükk sikeres lesz a zsarolóvírus elleni védelmi szoftverek ellen, amelyek statisztikai elemzéssel kiegészített tartalomvizsgálatot végeznek a titkosítás észlelésére."
A Sophos felfedett más trükköket is, amelyeket a LockFile a felismerés elkerülésére használ, többek között törli magát, hogy nehezebbé tegye az elemzést, de az időszakos titkosítás használata teszi egyedivé a zsarolóvírust. A LockFile elleni védelem legjobb módja a ProxyShell sebezhetőségek befoltozása és a PetitPotam támadás elleni védekezés - írja a Tom's Hardware.
