Ερευνητές διεξήγαγαν ένα πείραμα, θέλοντας να δουν το χρόνο που χρειάζονται δέκα γνωστές παραλλαγές ransomware για να κρυπτογραφήσουν τα αρχεία των θυμάτων και να αξιολογήσουν κατά πόσο είναι εφικτή η άμεση ανταπόκριση στις επιθέσεις.
Το Ransomware είναι ένα από τα πιο δημοφιλή malware, που κρυπτογραφεί δεδομένα και δεν επιτρέπει την πρόσβαση σε αυτά, χωρίς κλειδί αποκρυπτογράφησης. Έπειτα, οι επιτιθέμενοι λένε στα θύματα ότι για να αποκτήσουν ξανά πρόσβαση στα συστήματά τους, πρέπει να τους δώσουν χρήματα (λύτρα).
Δείτε επίσης: Hackers κλέβουν cryptos από άλλους hackers προωθώντας ψεύτικα malware
Το πόσο γρήγορα κρυπτογραφείται μια συσκευή είναι σημαντική πληροφορία, καθώς όσο πιο γρήγορα εντοπίζεται η επίθεση, τόσο λιγότερη ζημιά προκαλείται. Ο όγκος των δεδομένων που θα πρέπει να αποκατασταθούν περιορίζεται σημαντικά, αν εντοπιστεί νωρίς η ransomware επίθεση.
Σύγκριση ransomware ως προς το χρόνο κρυπτογράφησης
Οι ερευνητές στη Splunk πραγματοποίησαν 400 δοκιμές κρυπτογράφησης, από 10 διαφορετικές “οικογένειες ransomware”, 10 δείγματα ανά οικογένεια και τέσσερα διαφορετικά host profiles, που αντικατοπτρίζουν διαφορετικές προδιαγραφές απόδοσης.
«Δημιουργήσαμε τέσσερα διαφορετικά προφίλ «θύματος» που αποτελούνται από λειτουργικά συστήματα Windows 10 και Windows Server 2019, το καθένα με δύο διαφορετικά performance specifications», εξήγησε η Splunk στην έκθεσή της.
«Στη συνέχεια, επιλέξαμε 10 διαφορετικές οικογένειες ransomware και 10 δείγματα από καθεμία από αυτές τις οικογένειες για δοκιμή».
Κατά τη διάρκεια αυτών των δοκιμών, οι ερευνητές αξιολόγησαν την ταχύτητα κρυπτογράφησης 98.561 αρχείων (53 GB), χρησιμοποιώντας διάφορα εργαλεία.
Ο συνολικός μέσος χρόνος κρυπτογράφησης για τα 100 διαφορετικά δείγματα των δέκα ransomware strains, ήταν 42 λεπτά και 52 δευτερόλεπτα.
Ωστόσο, όπως φαίνεται στον παρακάτω πίνακα, ορισμένα δείγματα ransomware βρίσκονται αρκετά μακριά από αυτό το μέσο χρόνο.
Το πιο γρήγορο ransomware στην κρυπτογράφηση φαίνεται πως είναι το LockBit, το οποίο μπορεί να κρυπτογραφήσει χιλιάδες αρχεία μέσα σε 5 λεπτά και 50 δευτερόλεπτα. Η ταχύτερη παραλλαγή LockBit κρυπτογραφούσε 25.000 αρχεία ανά λεπτό.
Δείτε επίσης: FBI: Tο 2021 οι ομάδες ransomware χτύπησαν 649 κρίσιμες υποδομές των ΗΠΑ
Οι χειριστές του LockBit ransomware υποστηρίζουν εδώ και καιρό ότι έχουν το ταχύτερο ransomware για την κρυπτογράφηση αρχείων. Οι δοκιμές των ερευνητών έδειξαν ότι μάλλον έχουν δίκιο.
Το άλλοτε παραγωγικό Avaddon πέτυχε κατά μέσο όρο λίγο περισσότερο από 13 λεπτά. Το REvil κρυπτογραφούσε τα αρχεία σε περίπου 24 λεπτά και το BlackMatter και το Darkside σε 45 λεπτά.
Όσον αφορά στο δημοφιλές Conti, χρειάστηκε σχεδόν μια ώρα για να κρυπτογραφήσει τα 54 GB δεδομένων.
Ο παράγοντας χρόνος
Αν και ο χρόνος κρυπτογράφησης είναι ένας σημαντικός παράγοντας, δεν είναι η μόνη ευκαιρία εντοπισμού μιας επίθεσης. Οι επιθέσεις περιλαμβάνουν πολλά στάδια: reconnaissance periods, lateral movement, credential-stealing, privilege escalation, εξαγωγή δεδομένων, απενεργοποίηση shadow copies και άλλα.
Η “δύναμη” του σχήματος κρυπτογράφησης είναι αυτό που καθορίζει πόσο μακροχρόνιες ή διαχειρίσιμες θα είναι οι συνέπειες της επίθεσης. Επομένως η ισχύς είναι πιο σημαντική από την ταχύτητα.
Όσον αφοράς στο χρόνο, όμως, τα 43 λεπτά (μέσος χρόνος) δεν δίνουν μεγάλο περιθώριο στους υπερασπιστές δικτύων να ανιχνεύσουν έγκαιρα τη δραστηριότητα ransomware. Προηγούμενες μελέτες έχουν βρει ότι ο μέσος χρόνος για τον εντοπισμό παραβίασης είναι τρεις ημέρες.
Δεδομένου ότι οι περισσότερες ομάδες ransomware χτυπούν τα Σαββατοκύριακα, όταν οι ομάδες IT δεν έχουν επαρκές προσωπικό, οι περισσότερες προσπάθειες κρυπτογράφησης ολοκληρώνονται με επιτυχία. Επομένως ο χρόνος για την κρυπτογράφηση δεν θα πρέπει να είναι σημαντικός παράγοντας για τους υπερασπιστές.
Δείτε επίσης: Conti ransomware: Νέα διαρροή source code
Η καλύτερη άμυνα είναι να ανιχνεύσετε ασυνήθιστη δραστηριότητα κατά τη διάρκεια του σταδίου reconnaissance, πριν καν αναπτυχθεί το ransomware.
Αυτό περιλαμβάνει την αναζήτηση ύποπτης δραστηριότητας δικτύου, ασυνήθιστη δραστηριότητα λογαριασμού και τον εντοπισμό εργαλείων που χρησιμοποιούνται συνήθως πριν από μια επίθεση, όπως Cobalt Strike, ADFind, Mimikatz, PsExec, Metasploit και Rclone.
Πηγή: Bleeping Computer