RansomHouse ransomware-as-a-service (RaaS) neseniai atnaujino savo šifruotę, perjungdama nuo gana paprastos vienfazės linijinės technikos į sudėtingesnį, daugiasluoksnį metodą.
Praktiškai naujinimai siūlo geresnius šifravimo rezultatus, didesnį greitį ir didesnį patikimumą šiuolaikinėse tikslinėse aplinkose, todėl grėsmės veikėjams suteikiamas didesnis svertas derybose dėl šifravimo.
„RansomHouse“ pradėjo veikti 2021 m. gruodį kaip duomenų prievartavimo kibernetinių nusikaltimų operacija, vėliau atakose panaudojo šifruoklius ir sukūrė automatizuotą įrankį „MrAgent“, skirtą vienu metu užrakinti kelis VMware ESXi hipervizorius.
Neseniai buvo pranešta, kad grėsmės veikėjai panaudojo kelias išpirkos programų šeimas prieš Japonijos elektroninės prekybos milžinę Askul Corporation.
Nauja „Palo Alto Networks Unit 42“ tyrėjų ataskaita atskleidžia daugiau informacijos apie „RansomHouse“ įrankių rinkinį, įskaitant naujausią šifruotojo variantą, pavadintą „Mario“.
Naujas „Mario“ šifruoklis
Naujausias „RansomHouse“ šifravimo programos variantas perjungia nuo vieno ėjimo failo duomenų transformacijos į dviejų pakopų transformaciją, kuri naudoja du raktus – 32 baitų pirminį ir 8 baitų antrinį raktą.
Šis metodas padidina šifravimo entropiją ir apsunkina dalinį duomenų atkūrimą.
Šaltinis: 42 skyrius
Antrasis svarbus atnaujinimas yra naujos failų apdorojimo strategijos, kurioje naudojamas dinaminis gabalų dydis iki 8 GB slenksčio, su nutrūkstamu šifravimu, įdiegimas.
42 skyriuje teigiama, kad tai apsunkina statinę analizę dėl jos netiesiškumo, sudėtingos matematikos naudojimo tvarkai nustatyti ir skirtingų metodų, skirtų kiekvienam failui, atsižvelgiant į jo dydį.
Kitas svarbus „Mario“ atnaujinimas yra geresnis atminties išdėstymas ir buferio organizavimas bei didesnis sudėtingumas, kai dabar kiekvienam šifravimo etapui ar vaidmeniui naudojami keli specialūs buferiai.
Galiausiai, atnaujinta šifruotojo versija dabar spausdina išsamesnę failų apdorojimo informaciją, palyginti su senesniais variantais, kurie tik deklaravo užduoties atlikimą.
Naujesnis variantas vis dar taikomas VM failams ir pervardija užšifruotus failus su plėtiniu „.emario“, įmesdamas išpirkos raštą (Kaip atkurti failus.txt) visuose paveiktuose kataloguose.
Šaltinis: 42 skyrius
42 skyriuje daroma išvada, kad „RansomHouse“ šifravimo atnaujinimas kelia nerimą, signalizuoja apie „nerimą keliančią išpirkos reikalaujančių programų kūrimo trajektoriją“, padidina iššifravimo sunkumus ir apsunkina statinę analizę bei atvirkštinę inžineriją.
„RansomHouse“ yra viena iš ilgiau veikiančių „RaaS“ operacijų, tačiau ji išlieka vidutinio lygio pagal atakų apimtį. Nuolatinis pažangių įrankių kūrimas rodo, kad strategijoje yra apskaičiuota, orientuota į efektyvumą ir vengimą, o ne į mastą.
Sugedęs IAM yra ne tik IT problema – poveikis skleidžiasi visame versle.
Šiame praktiniame vadove aprašoma, kodėl tradicinė IAM praktika neatitinka šiuolaikinių reikalavimų, pateikiami pavyzdžiai, kaip atrodo „geras“ IAM, ir paprastas kontrolinis sąrašas, kaip sukurti keičiamo dydžio strategiją.
