Segurança

Criptografia intermitente: hackers usam para causar danos irreparáveis às vítimas

A criptografia intermitente é um novo truque que os cibercriminosos inventaram para escapar dos sistemas de detecção. Inclusive, os “desenvolvedores” do artifício, além de adotar o recurso, que apareceu no fim de 2021, divulgam a novidade criminosa na dark web tanto para atrair afiliados como para comercializá-la. Desde então, um número crescente de operações de ransomware usa a manobra, o que mostra que esta é uma tendência no mundo do cibercrime. O mercado negro, cresce, se profissionaliza e nele corre muito dinheiro.

A constatação foi feita pela SentinelOne, solução de cibersegurança baseada em inteligência artificial que abrange desde a prevenção, a detecção, a resposta e a caça aos ataques. De acordo com Gabriel Camargo, diretor de produtos da CLM, que distribui a tecnologia da SentinelOne na América Latina, a modalidade criminosa é mais eficiente porque agiliza a encriptação dos dados da vítima, causando danos irrecuperáveis em um período muito curto.

“Além disso, ao contrário da criptografia completa, a intermitente ajuda a evitar análises estatísticas, que avaliam a intensidade das operações de I/O (entrada e saída) de arquivos, inclusive por semelhança entre versões criptografadas, ao exibir intensidade significativamente menor dessas operações e, portanto, escapando de sistemas de detecção convencionais”, alerta Camargo.

A criptografia intermitente é, de fato, uma nova tendência no cenário do ransomware. “Também chamada de criptografia parcial dos arquivos das vítimas, o método ajuda os operadores de ransomware a escapar dos sistemas de detecção e criptografar os arquivos das vítimas mais rapidamente”, conta a empresa. A SentinelOne analisou as várias famílias de ransomware que, recentemente, passaram a usar a criptografia intermitente na tentativa de evitar detecção e prevenção: Qyick, Agenda, BlackCat (ALPHV), PLAY e Black Basta. O LockFile foi uma das primeiras grandes famílias de ransomware a usar o método.

No final de agosto, surgiu um novo ransomware comercial chamado Qyick, escrito em Go e com criptografia intermitente. O ransomware é uma compra única, ao contrário do modelo de assinatura, que é o mais comum. O preço varia de 0,2 BTC (Bitcoins) a aproximadamente 1,5 BTC, dependendo do nível de personalização que o comprador exige.


O comprador recebe um executável compilado com garantia: se o ransomware for detectado pelo software de segurança em até seis meses após a compra, o vendedor fornecerá uma nova amostra com desconto entre 60% e 80% do preço original. A descoberta sugere que a criptografia intermitente é uma tendência atual no cenário de ameaças de ransomware.

Já o Agenda Ransomware, também escrito em Go, e é usado principalmente para atingir organizações de saúde e educação, na África e na Ásia. O ransomware tem algumas opções de personalização, que incluem alterar as extensões de nome de arquivos criptografados, e a lista de processos e serviços a serem encerrados. E oferece suporte a vários modos de criptografia que o operador do ransomware pode configurar por meio da implementação criptográfica. 

Botão Voltar ao topo