Ransomware e la crittografia intermittente: cos'è e perché è pericolosa

I criminali informatici che sviluppano ransomware hanno creato un fiorente business intorno a questa tipologia di malware. Se un tempo si accontentavano di “sparare nel mucchio” crittografando i file memorizzati sui sistemi delle vittime per poi richiedere un riscatto in denaro, adesso si tendono a creare comunità di “affiliati” che acquistano la possibilità di utilizzare il backend del ransomware per un certo periodo di tempo e sferrano attacchi (anche) ad obiettivi di alto livello. Adesso, inoltre, il riscatto non viene chiesto soltanto per sbloccare i file crittografati dal ransomware ma anche per evitarne la pubblicazione online.
Questo secondo approccio risulta come una vera e propria spada di Damocle per quelle aziende che grazie all’utilizzo di efficaci politiche di backup riescono a riprendersi rapidamente da un attacco ransomware e ripristinare i dati.

Oltre a utilizzare tecniche utili a nascondersi il più possibile alle soluzioni per la sicurezza informatica, gli autori di ransomware hanno da tempo iniziato a utilizzare (purtroppo) con grandi risultati la cosiddetta crittografia intermittente.

La crittografia intermittente consiste in una tecnica progettata per eludere il rilevamento della minaccia una volta in esecuzione sui sistemi della vittima.
Abbiamo visto che i ransomware più pericolosi sono anche veloci a crittografare i file: operazioni di cifratura che impiegano molto tempo per essere portate a conclusione possono facilmente destare sospetti ed essere bloccate prematuramente.
Con la crittografia intermittente gli aggressori informatici aumentano la velocità di cifratura limitandosi a crittografare solo un volume limitato di dati, quantitativo che però risulta sufficiente per causare ingenti danni alla vittima e, potenzialmente, indurlo a pagare il riscatto.

A metà del 2021, il ransomware LockFile è stato uno dei primi a utilizzare la crittografia intermittente per eludere i meccanismi di rilevamento: da allora un numero crescente di famiglie di ransomware ha iniziato a usare la stessa tattica. Uno dei più noti e diffusi ransomware che sfruttano la crittografia intermittente è BlackCat: insieme con LockBit è responsabile dalla stragrande maggioranza degli incidenti informatici che hanno portato al danneggiamento dei dati memorizzati in azienda e alla loro diffusione online non autorizzata.

Il ricercatore di SentinelLabs Aleksandar Milenkoski ha decodificato campioni del ransomware BlackCat e ha verificato le diverse modalità crittografia che il ransomware utilizza: la maggior parte di esse si basano appunto sulla cifratura intermittente. Oltre alla crittografia completa, l’elenco seguente mostra l’approccio che BlackCat può utilizzare:

– HeadOnly [N] Crittografa i primi N byte del file.
– DotPattern [N, Y] Crittografa ogni N byte del file prevedendo un salto di Y byte.
– SmartPattern [N,P] Crittografa i primi N byte del file. BlackCat divide poi il resto del file in blocchi di dimensioni uguali in modo tale che ogni blocco abbia una dimensione del 10% del resto del file. BlackCat crittografa una certa percentuale dei byte che compongono ogni blocco.
– AdvancedSmartPattern [N,P,B] Crittografa i primi N byte del file. BlackCat divide il resto del file in B blocchi di uguali dimensioni. BlackCat crittografa quindi una certa percentuale dei byte di ogni blocco.
– Auto Modalità di crittografia dei file combinata. Il ransomware crittografa il contenuto del file in base a una delle modalità di crittografia viste in precedenza e poi abbina una seconda modalità in base all’estensione del file e alla sua dimensione.

Uno studio di valutazione che ha sottoposto file di varie dimensioni (50 MB, 500 MB, 5 GB e 50 GB) all’azione del ransomware BlackCat ha rivelato che l’utilizzo della crittografia intermittente può essere di notevole beneficio per gli attori delle minacce.

BlackCat include anche una logica interna per massimizzare la velocità di crittografia. Il ransomware crittografa i file utilizzando l’algoritmo AES (Advanced Encryption Standard) se il sistema della vittima supporta l’accelerazione hardware. In caso contrario il ransomware ripiega sull’algoritmo ChaCha20 completamente implementato lato software.