Исследователи провели технический эксперимент, протестировав десять вариантов программ-вымогателей, чтобы определить, насколько быстро они шифруют файлы, и оценить возможность своевременного реагирования на их атаки.
Программа-вымогатель — это вредоносное ПО, которое перечисляет файлы и каталоги на скомпрометированной машине, выбирает допустимые цели шифрования, а затем шифрует данные, поэтому они недоступны без соответствующего ключа дешифрования.
Это не позволяет владельцу данных получить доступ к файлам, поэтому атаки программ-вымогателей осуществляются либо для уничтожения данных и нарушения работы, либо для финансового вымогательства с требованием выплаты выкупа в обмен на ключ дешифрования.
Скорость шифрования устройства важна, так как чем быстрее оно будет обнаружено, тем меньше будет нанесено ущерба, а объем данных, которые необходимо восстановить, сведен к минимуму.
Тестирование программ-вымогателей
Исследователи из Splunk провели 400 тестов шифрования, состоящих из 10 разных семейств, по десять образцов на семейство и четырех разных профилей хостов, отражающих разные характеристики производительности.«Мы создали четыре разных профиля «жертвы», состоящих из операционных систем Windows 10 и Windows Server 2019, каждый из которых имеет две разные характеристики производительности, сравнимые с клиентскими средами», — пояснил Splunk в своем отчете .
«Затем мы выбрали для тестирования 10 различных семейств программ-вымогателей и по 10 образцов из каждого из этих семейств».
Во время этих тестов исследователи оценили скорость шифрования 98 561 файла общим объемом 53 ГБ с использованием различных инструментов, таких как собственное ведение журналов Windows, статистика Windows Perfmon, Microsoft Sysmon , Zeek и stoQ .
Аппаратное обеспечение хост-системы и конфигурации ОС варьировались, чтобы отразить реалистичные настройки корпоративной сети, и аналитики измерили все времена шифрования и рассчитали медианную скорость шифрования для каждого варианта.
Общее среднее время для всех 100 различных образцов десяти штаммов программ-вымогателей на испытательных стендах составило 42 минуты 52 секунды.
Однако, как показано в следующей таблице, некоторые образцы программ-вымогателей значительно отклонялись от этого медианного значения.
Среднее время шифрования для каждого штамма (Splunk)
«Победителем» и самым смертоносным ограничением по времени отклика стал LockBit, достигший в среднем 5 минут 50 секунд. Самый быстрый вариант LockBit шифровал 25 000 файлов в минуту.
LockBit уже давно хвастается на своей партнерской рекламной странице, что они являются самыми быстрыми программами-вымогателями для шифрования файлов, выпуская собственные тесты против более чем 30 различных штаммов программ-вымогателей.
Когда-то продуктивный Avaddon достиг в среднем чуть более 13 минут, REvil зашифровал файлы примерно за 24 минуты, а BlackMatter и Darkside завершили шифрование за 45 минут.
Что касается более медленной стороны, Conti потребовался почти час, чтобы зашифровать 54 ГБ тестовых данных, в то время как Maze и PYSA сделали это почти за два часа.
Фактор времени
Хотя время является важным фактором, это не единственная возможность обнаружения атак программ-вымогателей, которые обычно включают в себя периоды разведки, горизонтальное перемещение, кражу учетных данных, повышение привилегий, эксфильтрацию данных, отключение теневых копий и многое другое.
Все возможные возможности обнаружения при атаке программ-вымогателей (CertNZ)
После того, как шифрование завершено, именно сила самой схемы шифрования определяет, насколько длительными или управляемыми будут последствия атаки, поэтому сила важнее скорости.
Короткое время реагирования, когда программа-вымогатель в конечном итоге развертывается, подчеркивает, что сосредоточение внимания на этой конкретной возможности обнаружения и смягчения последствий нереалистично и в конечном счете неправильно.
Как отмечается в отчете Splunk, это исследование демонстрирует, что организациям необходимо сместить акцент с реагирования на инциденты на предотвращение заражения программами-вымогателями.
Общее среднее значение в 43 минуты — это крошечное окно возможностей для сетевых защитников, чтобы обнаружить активность программ-вымогателей, учитывая, что предыдущие исследования показали, что среднее время обнаружения компрометации составляет три дня.
Поскольку большинство групп вымогателей атакуют в выходные дни, когда ИТ-командам не хватает персонала, большинство попыток шифрования завершаются успешно, поэтому время шифрования не должно иметь существенного значения для защитников.
В конечном счете, лучшая защита — это обнаружение необычной активности на этапе разведки, еще до развертывания программы-вымогателя.
Это включает поиск подозрительной сетевой активности, необычной активности учетной записи и обнаружение инструментов, обычно используемых перед атакой, таких как Cobalt Strike, ADFind, Mimikatz, PsExec, Metasploit и Rclone.
Перевод - Google
Bleeping Computer
