CyberArk contrarresta el cifrado intermitente con la herramienta White Phoenix

Los ciberdelincuentes han adoptado una nueva estrategia de ransomware denominada cifrado intermitente, consistentes en el cifrado parcial de archivos específicos. Como los archivos solo están cifrados parcialmente, el ransomware puede apuntar a más documentos en menos tiempo. Esto significa que incluso si el ransomware se detiene antes de completar la operación, habrá cifrado una mayor cantidad de archivos, con un mayor impacto y una mayor posibilidad de dañar archivos críticos.

Grupos como BlackCat y Play han adoptado este método para cifrar rápidamente archivos de las organizaciones víctimas de sus ataques y pasar desapercibidos por las herramientas de ciberseguridad de la organización, ya que se cifra menos contenido y no activa ninguna alarma. Para contrarrestar el cifrado intermitente, CyberArk Labs ha desarrollado la herramienta automatizada White Phoenix, un script Python, de código abierto y disponible en GitHub, que puede automatizar el proceso de recuperación de encriptado intermitente, ya que aprovecha el hecho de que los archivos no están totalmente cifrados.

White Phoenix admite archivos PDF; formatos de Word, como docx y docm; formatos de Excel, como xlxm, xltx y extm; formatos de PowerPoint, como pptx, pptm y ptox; y archivos zip, si bien es posible que pronto se puedan recuperar otros formatos, como archivos de video y audio.

Según los investigadores de CyberArk Labs, el término “White” se ha elegido para contrarrestar los numerosos grupos de ransomware que usan la palabra “Black” en sus nombres (como BlackCat, BlackByte y Lockbit Black, entre otros) y “Phoenix”, porque se espera que la herramienta ayude a “revivir” a las empresas (como el ave fénix), después de sufrir un ataque de ransomware.