Rançongiciel : le chiffrement intermittent en questions

Sentinel Labs a récemment analysé l’utilisation, par des rançongiciels, d’un chiffrement intermittent, qui leur permet d’être plus rapides et plus discrets

LockFile, repéré par Sophos en juillet 2021, fut le premier rançongiciel à utiliser le chiffrement intermittent : au lieu de chiffrer la totalité d’un fichier, il n’en vise qu’une partie, avec un pas de 16 octets.

Sentinel Labs a publié un article de blog qui détaille la recrudescence de cette technique de chiffrement, utilisée par plusieurs rançongiciels récents : outre LockFile, Qyick, Agenda, BlackCat, Play et Black Basta sont concernés.

Selon les chercheurs, le chiffrement intermittent présente deux avantages essentiels : les fichiers sont chiffrés plus vite (un paramètre-clé, la lutte contre un rançongiciel en déploiement étant une course de vitesse), et l’opération de chiffrement passe plus facilement sous les radars des systèmes de détection, en trompant notamment les méthodes basées sur l’analyse statistique.

« Compte tenu des avantages significatifs pour les acteurs malveillants et de la facilité de mise en œuvre, nous estimons que le chiffrement intermittent continuera d’être adopté par davantage de familles de ransomwares », détaillent Aleksandar Milenkoski et Jim Walter, auteurs de l’article.

Ils estiment aussi que cette nouvelle technologie démontre l’ingéniosité des cybercriminels, mais aussi l’efficacité des techniques actuelles de détection et de réponses aux incidents, puisqu’elles poussent les pirates informatiques à innover pour les contourner.