Crittografia intermittente: nuova frontiera della minaccia ransomware

Negli ultimi anni, gli attacchi ransomware sono diventati sempre più sofisticati e difficili da rilevare.
Tra le nuove tecniche emergenti, una delle più insidiose è la crittografia intermittente, un metodo che permette ai cybercriminali di cifrare i file in modo parziale e selettivo, riducendo così i tempi di esecuzione e aumentando le probabilità di eludere le tecnologie di sicurezza.

Questa tecnica è stata adottata da numerosi gruppi ransomware di alto profilo, tra cui

BlackCat (ALPHV)
PLAY
Black Basta

i quali hanno sviluppato vari schemi di cifratura per massimizzare l’efficacia degli attacchi.

Cos’è la Crittografia Intermittente?
Come funziona la crittografia intermittente?
Perché i gruppi ransomware adottano questo nuovo approccio?
Come proteggersi dalla crittografia intermittente?

Cos’è la Crittografia Intermittente?

A differenza della crittografia tradizionale, che cifra l’intero contenuto di un file, la crittografia intermittente applica la cifratura solo a parti selezionate del documento.
Questo approccio offre diversi vantaggi agli attaccanti:

Maggiore velocità → Poiché solo una porzione del file viene cifrata, l’operazione è significativamente più rapida rispetto alla crittografia completa.
Riduzione del rilevamento → Molti strumenti di sicurezza identificano il ransomware in base al volume di scrittura su disco. La crittografia intermittente riduce questa attività, abbassando le possibilità di essere individuata.
Effetti devastanti → Anche se il file non viene interamente cifrato, può comunque risultare inutilizzabile, costringendo la vittima a pagare il riscatto per il ripristino.

Come funziona la crittografia intermittente?

I gruppi ransomware hanno implementato diversi schemi per applicare la crittografia intermittente, spesso personalizzabili a seconda del tipo di file e delle dimensioni. Tra le modalità più diffuse troviamo:

HeadOnly(N) → Vengono cifrati solo i primi N byte del file.
DotPattern(N, Y) → Il ransomware cifra N byte ogni Y byte, lasciando parti del file in chiaro.
SmartPattern(N, P) → Dopo aver cifrato i primi N byte, il ransomware divide il resto del file in blocchi e ne cifra una percentuale P.
AdvancedSmartPattern(N, P, B) → Versione avanzata dello schema precedente, con divisione in B blocchi e cifratura di una percentuale P.
Crittografia combinata → Il malware utilizza uno o più schemi in base all’estensione e alla dimensione del file.

Ad esempio, BlackCat consente agli attaccanti di scegliere tra sei diverse modalità di crittografia, mentre Agenda permette di cifrare ogni X MB di un file e saltare Y MB, riducendo ulteriormente il tempo necessario per l’operazione.

Perché i gruppi ransomware stanno adottando questo nuovo approccio?

L’adozione della crittografia intermittente non è casuale, ma risponde a precise esigenze degli attaccanti:

Aumento della velocità operativa → Un ransomware che cifra rapidamente ha più possibilità di completare l’attacco prima che le tecnologie di difesa possano ragire.
Bypass dei sistemi di rilevamento → Molti antivirus monitorano l’intensità delle operazioni di I/O per individuare attività sospette.
La crittografia intermittente rende questa analisi meno efficace.
Maggiore pressione sulle vittime → Anche se i file non sono completamente cifrati, il danno è sufficiente per rendere difficile il recupero dei dati senza la chiave di decrittazione.

Come proteggersi dalla crittografia intermittente?

Difendersi dalla crittografia intermittente richiede un approccio capace di ridurre i rischi e mitigare gli effetti di un possibile attacco.
Una delle strategie fondamentali è effettuare backup frequenti e conservarli in archivi offline, così da garantire il ripristino dei dati senza dover cedere al ricatto degli attaccanti. Parallelamente, il monitoraggio del comportamento anomalo rappresenta un valido alleato nella rilevazione precoce delle minacce, poiché le soluzioni di sicurezza avanzate possono individuare schemi sospetti di accesso e modifica dei file prima che il danno diventi irreparabile.

Un’altra misura efficace è la segmentazione della rete, che limita l’accesso ai dati sensibili e riduce la superficie esposta agli attacchi, impedendo ai ransomware di propagarsi facilmente all’interno dell’infrastruttura aziendale. Infine, mantenere i sistemi costantemente aggiornati è essenziale per chiudere le falle di sicurezza sfruttate dai cybercriminali: una gestione attenta delle patch riduce drasticamente le possibilità di infiltrazione e protegge l’integrità dell’ambiente digitale.

Autore articolo
Gli ultimi articoli

Ilaria Della Queva

Nata a Taranto nel 1996 e diplomata in “Amministrazione finanza e marketing articolazione relazioni internazionali”. Ho seguito svariati corsi di formazione e ho avuto diverse esperienze lavorative nel mondo del marketing online e della comunicazione. Ad oggi sono scrittrice e mi occupo, oltre che dei social media, anche di seo, web/graphic design e fotografia.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.