RansomHouse aggiorna la crittografia con un’elaborazione dati a più layer

Aggiornamento dell’encryptor di RansomHouse
RansomHouse, un gruppo di ransomware-as-a-service (RaaS), ha recentemente aggiornato il suo encryptor, passando da una tecnica lineare semplice a un metodo più complesso e multilayer. L’aggiornamento offre risultati di crittografia più forti, velocità più elevate e una migliore affidabilità negli ambienti bersaglio moderni, dando agli attori minacciosi un maggiore potere contrattuale durante le negoziazioni post-crittografia.

La nuova versione dell’encryptor ‘Mario’
La versione più recente dell’encryptor di RansomHouse, chiamata ‘Mario’, utilizza una trasformazione dei dati dei file in due fasi, che sfrutta due chiavi, una primaria di 32 byte e una secondaria di 8 byte. Ciò aumenta l’entropia della crittografia e rende più difficile la ripristino parziale dei dati. Inoltre, la nuova versione introduce una strategia di elaborazione dei file dinamica, che utilizza una dimensione dei chunk variabile con una soglia di 8 GB e una crittografia intermittente.

Implicazioni e conclusioni
Gli ricercatori di Palo Alto Networks Unit 42 concludono che l’aggiornamento della crittografia di RansomHouse è allarmante, segnando “una traiettoria preoccupante nello sviluppo del ransomware”, che aumenta la difficoltà di decrittografia e rende più difficile l’analisi statica e l’ingegneria inversa. RansomHouse è uno dei gruppi di RaaS più longevi, ma rimane a livello medio in termini di volume di attacchi. La sua continua sviluppo di strumenti avanzati suggerisce una strategia calcolata focalizzata sull’efficienza e l’evasione piuttosto che sulla scala.