Sophos reveló en una reciente investigación la forma en que los operadores detrás del ransomware LockFile cifran los archivos vulnerados en paquetes de 16 bytes, para evadir la detección de amenazas. Los investigadores de Sophos llamaron a este novedoso enfoque: Cifrado intermitente, ya que ayuda al ransomware a evitar que se activen las señal de alerta en los equipos de ciberseguridad, esto ya que los archivos cifrados se ve estadísticamente muy similares a su original. Esta es la primera vez que los investigadores de Sophos han visto este enfoque utilizado en ransomware.
Para Mark Loman, director de ingeniería de Sophos, los operadores de ransomware utilizan generalmente el cifrado parcial para acelerar el proceso de cifrado y BlackMatter, DarkSide y LockBit 2.0 implementan esta técnica. “Lo que distingue a LockFile es que, a diferencia de los demás, no cifra los primeros bloques. En cambio, cifra los 16 bytes restantes de un documento”, añade.
El especialista señala que esto significa que un archivo, como un documento de texto, permanece parcialmente legible y se parece estadísticamente al original. “Este truco puede tener éxito contra el software de detección de ransomware que se basa en inspeccionar el contenido mediante análisis estadístico para detectar el cifrado”, explica.
El mensaje desde Sophos para los defensores es que el panorama de las amenazas cibernéticas nunca se detiene y los adversarios aprovecharán rápidamente todas las oportunidades o herramientas posibles para lanzar un ataque. Otro hallazgo clave de Sophos es que el ransomware LockFile utiliza un proceso relativamente poco común conocido como “entrada/salida (E/S) mapeada en memoria”.
Esta técnica permite que el ransomware cifre de forma invisible los documentos y los almacena en caché de la memoria de la computadora, sin crear tráfico detectable para las soluciones de ciberseguridad Esta técnica también ha sido utilizada por WastedLocker y Maze.
A diferencia de otras amenazas dirigidas por humanos, LockFile no necesita conectarse a un centro de comando y control para comunicarse. Esto le ayuda a mantener la actividad de ataque bajo el radar de detección durante el mayor tiempo posible.
Una vez que ha cifrado todos los documentos en la máquina, se borra. Esto significa que, después del ataque, no hay un código binario de ransomware que el software de protección de endpoints pueda encontrar o limpiar. Adicionalmente, LockFile evita encriptar cerca de 800 archivos diferentes por extensión, lo que vuelve más confuso el trabajo para los equipos de ciberseguridad.
¿Qué hacer ante LockFile?
Sophos recomienda, primero, implementar la protección en capas. Dado que más ataques de ransomware también implican extorsión, se debe utilizar la protección en capas para bloquear a los atacantes en tantos puntos como sea posible. También se recomienda combinar el trabajo de expertos humanos y tecnología antiransomware ya que la tecnología proporciona la escala y la automatización que necesita una estrategia de defensa, mientras que los expertos humanos son los más capaces de detectar las tácticas, técnicas y procedimientos reveladores que indican que un atacante está intentando ingresar al entorno.
“Las empresas deben asegurarse de que las herramientas, los procesos y el personal adecuados estén disponibles para supervisar, investigar y responder a las amenazas observadas en el entorno. Los atacantes de ransomware a menudo programan su ataque durante las horas de menor actividad, los fines de semana o durante las vacaciones, asumiendo que poco o ningún personal está mirando, asegura Mark Loman.
El especialista agrega también que se deben establecer contraseñas seguras que sirven como una de las primeras líneas de defensa. También se debe utilizar la autenticación multifactor (MFA), ya que incluso las contraseñas seguras pueden verse comprometidas. Cualquier forma de autenticación multifactor es mejor para asegurar el acceso a recursos críticos como correo electrónico, herramientas de administración remota y activos de red.
