Qyick, Agenda, BlackCat, BlackBasta Ransomware IOCs

ransomware IOC

Частичное шифрование файлов жертв повышает скорость работы вымогательских программ и помогает уклониться от них. Впервые эта техника была замечена в LockFile, но сейчас она получила широкое распространение.


Прерывистое шифрование важно для операторов ransomware с двух точек зрения:

  • Скорость: шифрование может быть трудоемким процессом, а время имеет решающее значение для операторов выкупных программ - чем быстрее они шифруют файлы жертв, тем меньше вероятность того, что их обнаружат и остановят в процессе. Прерывистое шифрование наносит непоправимый ущерб за очень короткий промежуток времени.
  • Уклонение: Системы обнаружения Ransomware могут использовать статистический анализ для обнаружения работы ransomware. Такой анализ может оценивать интенсивность операций ввода-вывода файлов или сходство между известной версией файла, которая не была затронута ransomware, и предполагаемой измененной, зашифрованной версией файла. В отличие от полного шифрования, прерывистое шифрование помогает обойти такие анализы, демонстрируя значительно меньшую интенсивность операций ввода-вывода файлов и гораздо большее сходство между незашифрованной и зашифрованной версиями данного файла.

SentinelLabs называет несколько последних семейств вымогательских программ, которые используют прерывистое шифрование в попытке обойти обнаружение и предотвращение: Qyick, Agenda, BlackCat (ALPHV), PLAY и Black Basta.

Indicators of Compromise

SHA1

  • 14177730443c70aefeeda3162b324fdedf9cf9e0
  • 5f99214d68883e91f586e85d8db96deda5ca54af
  • 8917af3878fa49fe4ec930230b881ff0ae8d19c9
  • a996ccd0d58125bf299e89f4c03ff37afdab33fc

 

Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий