Το RansomHouse ransomware-as-a-service (RaaS) αναβάθμισε πρόσφατα τον κρυπτογράφηση του, μεταβαίνοντας από μια σχετικά απλή μονοφασική γραμμική τεχνική σε μια πιο περίπλοκη μέθοδο πολλαπλών επιπέδων.
Στην πράξη, οι αναβαθμίσεις προσφέρουν ισχυρότερα αποτελέσματα κρυπτογράφησης, μεγαλύτερες ταχύτητες και καλύτερη αξιοπιστία σε σύγχρονα περιβάλλοντα στόχου, δίνοντας στους φορείς απειλής ισχυρότερο μόχλευση κατά τις διαπραγματεύσεις μετά την κρυπτογράφηση.
Το RansomHouse κυκλοφόρησε τον Δεκέμβριο του 2021 ως επιχείρηση εκβιασμού δεδομένων στον κυβερνοχώρο, υιοθετώντας αργότερα κρυπτογραφητές σε επιθέσεις και αναπτύσσοντας ένα αυτοματοποιημένο εργαλείο που ονομάζεται MrAgent για να κλειδώνει ταυτόχρονα πολλαπλούς VMware ESXi hypervisors.
Πρόσφατα, αναφέρθηκε ότι οι φορείς απειλών χρησιμοποίησαν πολλές οικογένειες ransomware εναντίον του ιαπωνικού γίγαντα ηλεκτρονικού εμπορίου Askul Corporation.
Μια νέα έκθεση από ερευνητές στο Palo Alto Networks Unit 42 ρίχνει περισσότερο φως στο σύνολο εργαλείων του RansomHouse, συμπεριλαμβανομένης της τελευταίας παραλλαγής κρυπτογράφησης, που ονομάζεται “Mario”.
Νέος κρυπτογραφητής «Mario».
Η τελευταία παραλλαγή κρυπτογράφησης του RansomHouse αλλάζει από έναν μετασχηματισμό δεδομένων αρχείου με ένα πέρασμα σε έναν μετασχηματισμό δύο σταδίων που αξιοποιεί δύο κλειδιά, ένα πρωτεύον κλειδί 32 byte και ένα δευτερεύον κλειδί 8 byte.
Αυτή η προσέγγιση αυξάνει την εντροπία κρυπτογράφησης και δυσκολεύει τη μερική ανάκτηση δεδομένων.
Πηγή: Ενότητα 42
Η δεύτερη σημαντική αναβάθμιση είναι η εισαγωγή μιας νέας στρατηγικής επεξεργασίας αρχείων που χρησιμοποιεί δυναμικό μέγεθος τμημάτων σε κατώφλι 8 GB, με διακοπτόμενη κρυπτογράφηση.
Η ενότητα 42 λέει ότι αυτό κάνει τη στατική ανάλυση πιο δύσκολη λόγω της μη γραμμικότητάς της, της χρήσης πολύπλοκων μαθηματικών για τον προσδιορισμό της σειράς επεξεργασίας και της χρήσης διακριτών προσεγγίσεων για κάθε αρχείο με βάση το μέγεθός του.
Μια άλλη αξιοσημείωτη αναβάθμιση στο “Mario” είναι η καλύτερη διάταξη μνήμης και οργάνωση buffer, και υψηλότερη πολυπλοκότητα, με πολλαπλούς αποκλειστικούς buffer που χρησιμοποιούνται πλέον για κάθε στάδιο ή ρόλο κρυπτογράφησης.
Τέλος, η αναβαθμισμένη έκδοση κρυπτογράφησης εκτυπώνει τώρα πιο λεπτομερείς πληροφορίες για την επεξεργασία αρχείων σε σύγκριση με τις παλαιότερες παραλλαγές, οι οποίες δήλωναν μόνο την ολοκλήρωση της εργασίας.
Η νεότερη παραλλαγή εξακολουθεί να στοχεύει αρχεία VM και μετονομάζει τα κρυπτογραφημένα αρχεία με την επέκταση ‘.emario’, ρίχνοντας μια σημείωση λύτρων (Πώς να επαναφέρετε τα αρχεία σας.txt) σε όλους τους καταλόγους που επηρεάζονται.
Πηγή: Ενότητα 42
Η ενότητα 42 καταλήγει στο συμπέρασμα ότι η αναβάθμιση κρυπτογράφησης του RansomHouse είναι ανησυχητική, σηματοδοτώντας «μια ανησυχητική τροχιά στην ανάπτυξη ransomware», αυξάνοντας τη δυσκολία αποκρυπτογράφησης και δυσκολεύοντας τη στατική ανάλυση και την αντίστροφη μηχανική.
Το RansomHouse είναι μια από τις πιο μακροχρόνιες λειτουργίες RaaS, αλλά παραμένει μεσαίου επιπέδου όσον αφορά τον όγκο επιθέσεων. Η συνεχής ανάπτυξη προηγμένων εργαλείων υποδηλώνει μια υπολογισμένη στρατηγική που επικεντρώνεται στην αποτελεσματικότητα και τη φοροδιαφυγή παρά στην κλίμακα.
Το σπασμένο IAM δεν είναι απλώς ένα πρόβλημα πληροφορικής – ο αντίκτυπος κυματίζεται σε ολόκληρη την επιχείρησή σας.
Αυτός ο πρακτικός οδηγός καλύπτει γιατί οι παραδοσιακές πρακτικές IAM αποτυγχάνουν να συμβαδίζουν με τις σύγχρονες απαιτήσεις, παραδείγματα για το πώς φαίνεται το “καλό” IAM και μια απλή λίστα ελέγχου για τη δημιουργία μιας επεκτάσιμης στρατηγικής.
VIA: bleepingcomputer.com
