Este tipo de ataque es más rápido, más difícil de detectar e igualmente efectivo. Uno de los programas que utilizan esta técnica fue empleado en un ataque al sistema judicial de Córdoba en agosto.
Los grupos criminales que utilizan ransomware han adoptado una nueva técnica de ataque conocida como encriptado intermitente. Este método supone la modificación parcial de los archivos objetivos. Varios beneficios se obtiene al actuar de tal forma: los ataques son más rápidos, a menudo más difíciles de detectar e igualmente efectivos. Esta tendencia ha sido observada por la compañía Sentinel Labs.
Ventajas
Como es lógico, al realizar una tarea de encriptado que saltea fragmentos de un archivos todo el proceso se vuelve mucho más rápido. La deshabilitación de extensos tramos de la información es suficiente para hacer que el total sea inservible.
Dado que el encriptado realizado es menor muchas herramientas de detección automatizada no detectan las operaciones a tiempo para detenerlas. Ciertos signos que hasta ahora eran utilizados como señales de alerta no aparecen de la misma manera.
Métodos de fragmentación
Los métodos de encriptado intermitente pueden tener varios tipos de criterios. En algunos casos simplemente se alteran los primeros megabytes. En otros se realiza la modificación cada cierta cantidad de información. También hay métodos que actúan por porcentajes.
En muchos casos los grupos criminales ofrecen herramientas que permiten combinar estas técnicas.
PLAY en Córdoba
La técnica de encriptado intermitente habría sido utilizada en el ataque al sistema judicial de Córdoba a mediados de agosto. En este caso se utilizó la herramienta PLAY, que divide a los archivos en fragmentos y encripta algunos de ellos.