O ransomware mais rápido criptografa 100 mil arquivos em quatro minutos

O fornecedor de monitoramento de segurança e análise de dados avaliou a velocidade com que 10 variantes de ransomware criptografam dados para compilar seu relatório,  Uma Análise Empiricamente Comparativa de Binários de Ransomware.

Usando um ambiente de laboratório controlado Splunk Attack Range, a empresa executou 10 amostras de cada uma das 10 variantes em quatro hosts – dois executando o Windows 10 e os outros dois executando o Windows Server 2019.

Em seguida, mediu a velocidade com que o ransomware criptografou quase 100.000 arquivos, totalizando quase 53 GB.

O LockBit saiu mais rápido, com velocidades 86% mais rápidas que a mediana de 43 minutos. A amostra mais rápida do LockBit criptografa 25.000 arquivos por minuto.

No entanto, houve uma variação significativa nas velocidades entre a mais rápida, que levou apenas quatro minutos no total, e a variante mais lenta, que levou três horas e meia.

Em ordem de maior rapidez, as variantes analisadas pelo Splunk foram: LockBit; Babuk; Avadon; Ryuk; REvil; BlackMatter; Lado escuro; Conti; Labirinto; e Mespinoza (Pysa).

“A duração média média demonstra uma janela de tempo limitada para responder a um ataque de ransomware assim que o processo de criptografia estiver em andamento. Isso pode ser ainda mais limitante, considerando que o ápice catastrófico pode ser quando um único arquivo crítico é criptografado, em vez de todos os dados da vítima”, alertou o relatório.

“Com esses fatores em jogo, pode ser extremamente difícil, se não impossível, para a maioria das organizações mitigar um ataque de ransomware assim que o processo de criptografia começar.”

Como tal, as organizações devem concentrar mais seus esforços na prevenção, identificando os sinais de alerta de um comprometimento de ransomware mais cedo, argumentou o Splunk.

“Se uma organização deseja se defender contra o ransomware, é claro que ela precisa se mover para a esquerda na cadeia de cyber kill e detectar na entrega ou na exploração, em vez de ações objetivas”, disse, citando o famoso  modelo da Lockheed Martin.

No entanto, do jeito que as coisas estão, a maioria das organizações está longe de realizar uma detecção e resposta tão rápidas.

De acordo com o relatório mais recente  da M-Trends, o ransomware tem um tempo médio de permanência de três dias nas Américas.

Fonte: https://www.infosecurity-magazine.com/