Une nouvelle tendance se fait jour au sein des ransomwares : plusieurs rançongiciels ne chiffrent plus que des segments de fichiers, d’abord pour être plus rapides mais aussi pour être plus furtifs et échapper ainsi aux systèmes de détection. C’est le constat de chercheurs en sécurité chez Sentinel et chez Sophos, entre autres.
Le rançongiciel LockFile a été le premier à utiliser du cryptage intermittent, selon Sophos. C’était en juillet 2021. La méthode utilisée est de chiffrer un bloc de 16 octets sur deux.
Désormais, d’autres ransomwares ont suivi les traces de LockFile, chacun à leur manière, tels qu’Agenda, BlackCat, Black Basta, BlackMatter, DarkSide, Play et Qyick. Certains ne chiffrent que les premiers octets d’un fichier. D’autres scindent les fichiers en plusieurs morceaux et n’en chiffrent que quelques-uns.
« Compte tenu des avantages significatifs pour les acteurs malveillants et de la facilité de mise en œuvre, nous estimons que le chiffrement intermittent continuera d’être adopté par davantage de familles de ransomwares », préviennent Aleksandar Milenkoski et Jim Walter, chercheurs chez Sentinel.