Los ciberdelincuentes han adoptado una nueva estrategia de ransomware: el cifrado intermitente, es decir, el cifrado parcial de archivos específicos. Grupos como BlackCat y Play han adoptado este método para cifrar rápidamente archivos de las organizaciones víctimas de sus ataques y pasar desapercibidos por las herramientas de ciberseguridad de la organización, ya que se cifra menos contenido y no activa ninguna alarma.
Y como los archivos solo están cifrados parcialmente, el ransomware puede apuntar a más documentos en menos tiempo. Esto significa que incluso si el ransomware se detiene antes de completar la operación, habrá cifrado una mayor cantidad de archivos, con un mayor impacto y una mayor posibilidad de dañar archivos críticos.
Con el objetivo de contrarrestar el cifrado intermitente, CyberArk Labs ha desarrollado la herramienta automatizada White Phoenix, un script Python, de código abierto y disponible en GitHub, que puede automatizar el proceso de recuperación de encriptado intermitente, ya que aprovecha el hecho de que los archivos no están totalmente cifrados.
White Phoenix admite archivos PDF; formatos de Word, como docx y docm; formatos de Excel, como xlxm, xltx y extm; formatos de PowerPoint, como pptx, pptm y ptox; y archivos zip, si bien es posible que pronto se puedan recuperar otros formatos, como archivos de video y audio.
Según los investigadores de CyberArk Labs, el término “White” se ha elegido para contrarrestar los numerosos grupos de ransomware que usan la palabra “Black” en sus nombres (como BlackCat, BlackByte y Lockbit Black, entre otros) y “Phoenix”, porque se espera que la herramienta ayude a “revivir” a las empresas (como el ave fénix), después de sufrir un ataque de ransomware.
Ilustración: CyberArk
