18.12.2025
1 хв
433
RansomHouse, одна з тривалих операцій формату ransomware-as-a-service, оновила свій шифрувальник, перейшовши від простої лінійної схеми до складної багатошарової моделі. Новий підхід підвищує стійкість шифрування, ускладнює аналіз і значно зменшує шанси на часткове відновлення даних жертв.
Згідно з дослідженням фахівців Palo Alto Networks Unit 42, новий шифрувальник RansomHouse, що отримав назву Mario, використовує дворівневу трансформацію даних із двома окремими ключами — основним 32-байтовим і допоміжним 8-байтовим. Така схема суттєво підвищує ентропію шифрування та робить класичні методи дешифрування малоефективними.
Окрім цього, Mario застосовує нову стратегію обробки файлів із динамічним розбиттям на блоки для файлів понад 8 ГБ і переривчастим шифруванням. Нелінійний порядок обробки, складні математичні розрахунки та різні підходи залежно від розміру файлу значно ускладнюють статичний аналіз і реверс-інжиніринг.
Також дослідники відзначають покращену організацію пам’яті та використання кількох спеціалізованих буферів для кожного етапу шифрування. Оновлений шифрувальник зберіг фокус на віртуальних середовищах, зокрема VMware ESXi, перейменовуючи зашифровані файли з розширенням .emario та залишаючи стандартну записку з вимогою викупу.
RansomHouse з’явився наприкінці 2021 року як операція з вимагання даних, згодом додавши повноцінне шифрування та інструмент MrAgent, який дозволяє одночасно блокувати кілька ESXi-хостів. Група відома помірною кількістю атак, але стабільною еволюцією інструментарію та експериментами з різними сімействами ransomware.
Аналітики відзначають, що стратегія RansomHouse орієнтована не на масовість, а на ефективність, надійність шифрування та ускладнення технічного аналізу, що дає змогу посилювати тиск на жертв під час переговорів.
Оновлення шифрувальника RansomHouse свідчить про загальну тенденцію еволюції ransomware у бік складніших, менш прогнозованих і важчих для аналізу механізмів. Багатошарове шифрування стає новим стандартом для угруповань, які прагнуть підвищити стійкість своїх атак і мінімізувати шанси на технічний захист без сплати викупу.
