O ransomware mais rápido criptografa 100 mil arquivos em quatro minutos
Os defensores da rede têm apenas 43 minutos para mitigar os ataques de ransomware assim que a criptografia começar, alertou um novo estudo da Splunk.
O fornecedor de monitoramento de segurança e análise de dados avaliou a velocidade com que 10 variantes de ransomware criptografam dados para compilar seu relatório, Uma Análise Empiricamente Comparativa de Binários de Ransomware.
Usando um ambiente de laboratório controlado Splunk Attack Range, a empresa executou 10 amostras de cada uma das 10 variantes em quatro hosts – dois executando o Windows 10 e os outros dois executando o Windows Server 2019.
Em seguida, mediu a velocidade com que o ransomware criptografou quase 100.000 arquivos, totalizando quase 53 GB.
O LockBit saiu mais rápido, com velocidades 86% mais rápidas que a mediana de 43 minutos. A amostra mais rápida do LockBit criptografa 25.000 arquivos por minuto.
No entanto, houve uma variação significativa nas velocidades entre a mais rápida, que levou apenas quatro minutos no total, e a variante mais lenta, que levou três horas e meia.
Em ordem de maior rapidez, as variantes analisadas pelo Splunk foram: LockBit; Babuk; Avadon; Ryuk; REvil; BlackMatter; Lado escuro; Conti; Labirinto; e Mespinoza (Pysa).
“A duração média média demonstra uma janela de tempo limitada para responder a um ataque de ransomware assim que o processo de criptografia estiver em andamento. Isso pode ser ainda mais limitante, considerando que o ápice catastrófico pode ser quando um único arquivo crítico é criptografado, em vez de todos os dados da vítima”, alertou o relatório.
“Com esses fatores em jogo, pode ser extremamente difícil, se não impossível, para a maioria das organizações mitigar um ataque de ransomware assim que o processo de criptografia começar.”
Como tal, as organizações devem concentrar mais seus esforços na prevenção, identificando os sinais de alerta de um comprometimento de ransomware mais cedo, argumentou o Splunk.
“Se uma organização deseja se defender contra o ransomware, é claro que ela precisa se mover para a esquerda na cadeia de cyber kill e detectar na entrega ou na exploração, em vez de ações objetivas”, disse, citando o famoso modelo da Lockheed Martin.
No entanto, do jeito que as coisas estão, a maioria das organizações está longe de realizar uma detecção e resposta tão rápidas.
De acordo com o relatório mais recente da M-Trends, o ransomware tem um tempo médio de permanência de três dias nas Américas.
