Cyberthreat.id – Semakin banyak kelompok ransomware mengadopsi taktik baru yang membantu mereka mengenkripsi sistem korban lebih cepat sekaligus mengurangi kemungkinan terdeteksi dan dihentikan.

Dilansir Bleeping Computer, taktik ini disebut enkripsi intermiten, dan terdiri dari enkripsi hanya bagian dari konten file yang ditargetkan, yang masih akan membuat data tidak dapat dipulihkan tanpa menggunakan decryptor+key yang valid.

Misalnya, dengan melewatkan setiap 16 byte file lainnya, proses enkripsi membutuhkan hampir separuh waktu yang diperlukan untuk enkripsi penuh tetapi masih mengunci konten untuk selamanya.

Selain itu, karena enkripsi lebih ringan, alat deteksi otomatis yang mengandalkan pendeteksian tanda-tanda masalah dalam bentuk operasi IO file yang intens cenderung gagal.

"Apa yang Digunakan Anak-Anak Keren Itu."

SentinelLabs telah memposting laporan yang memeriksa tren yang dimulai oleh LockFile pada pertengahan 2021 dan sekarang diadopsi oleh orang-orang seperti Black Basta, ALPHV (BlackCat), PLAY, Agenda, dan Qyick.

Grup-grup ini secara aktif mempromosikan keberadaan fitur enkripsi intermiten dalam keluarga ransomware mereka untuk menarik afiliasi agar bergabung dengan operasi RaaS.

"Khususnya, Qyick memiliki fitur enkripsi intermiten, yang digunakan oleh anak-anak keren saat Anda membaca ini. Dikombinasikan dengan fakta yang tertulis di Go, kecepatannya tidak tertandingi," jelas iklan Qyick di forum peretasan.

Agenda ransomware menawarkan enkripsi intermiten sebagai pengaturan opsional dan dapat dikonfigurasi. Tiga kemungkinan mode enkripsi parsial adalah:

• skip-step [skip: N, step: Y] - Enkripsi setiap Y MB file, lewati N MB.

• fast [f: N] - Enkripsi N MB pertama dari file.

• persen [n: N; p:P] - Enkripsi setiap N MB file, lewati P MB, di mana P sama dengan P% dari total ukuran file.

Implementasi enkripsi intermiten BlackCat juga memberikan pilihan konfigurasi kepada operator dalam bentuk berbagai pola byte-skipping.

Misalnya, malware hanya dapat mengenkripsi byte pertama file, mengikuti pola titik, persentase blok file, dan juga memiliki mode "otomatis" yang menggabungkan beberapa mode untuk hasil yang lebih kusut.

Munculnya ransomware PLAY baru-baru ini melalui serangan profil tinggi terhadap Peradilan Córdoba Argentina juga didukung oleh kecepatan enkripsi intermiten.

PLAY tidak memberikan opsi konfigurasi, tetapi sebaliknya, itu hanya memecah file menjadi 2, 3, atau 5 potongan, tergantung pada ukuran file, dan kemudian mengenkripsi setiap potongan lainnya.

Terakhir, Black Basta, salah satu nama terbesar di dunia saat ini, juga tidak memberikan opsi kepada operator untuk memilih di antara mode, karena ketegangannya memutuskan apa yang harus dilakukan berdasarkan ukuran file.

Untuk file kecil di bawah ukuran 704 byte, itu mengenkripsi semua konten. Untuk file antara 704 byte dan 4 KB, ini mengenkripsi 64 byte dan melewati 192 byte di antaranya.

Jika ukuran file melebihi 4 KB, ransomware Black Basta mengurangi ukuran ruang interval tak tersentuh menjadi 128 byte, sedangkan ukuran bagian terenkripsi tetap 64 byte.

Prospek Enkripsi Intermiten

Enkripsi intermiten tampaknya memiliki keuntungan yang signifikan dan hampir tidak ada kerugian, sehingga analis keamanan mengharapkan lebih banyak geng ransomware untuk segera mengadopsi pendekatan ini.

Strain LockBit sudah yang tercepat di luar sana dalam hal kecepatan enkripsi, jadi jika geng mengadopsi teknik enkripsi parsial, durasi serangannya akan dikurangi menjadi beberapa menit.

Tentu saja, enkripsi adalah masalah yang kompleks, dan penerapan enkripsi intermiten harus dilakukan dengan benar untuk memastikan bahwa itu tidak akan menghasilkan pemulihan data yang mudah oleh para korban.

Saat ini, implementasi BlackCat adalah yang paling canggih, sedangkan implementasi Qyick masih belum diketahui karena analis malware belum menganalisis sampel RaaS baru.