LockBit supera REvil e Ryuk no teste de velocidade de criptografia de ransomware do Splunk

Os pesquisadores do Splunk colocaram 10 variantes de ransomware em um teste de velocidade para ajudar os defensores da rede a melhorar suas estratégias de segurança. Os analistas mediram o tempo total para criptografar e descobriram que as afirmações da LockBit de ser a mais rápida eram verdadeiras. A variante de ransomware criptografou o arquivo de amostra de 53 GB em cinco minutos e cinquenta segundos.

A equipe SURGe do Splunk compartilhou essas descobertas em um novo relatório, “An Empirically Comparative Analysis of Ransomware Binaries”. O Splunk é uma plataforma de dados aberta e extensível que coleta e analisa dados em uma organização para equipes de segurança, TI e operações. O projeto também examinou como o ransomware utilizou recursos do sistema como processador, memória e disco. O tempo total médio para criptografar foi de 42 minutos e 52 segundos em todas as 10 famílias.

VEJA: Software de inteligência de ameaças cibernéticas

O problema é claro, como os analistas do Splunk afirmam sem rodeios: “Quarenta e três minutos é uma janela de oportunidade extremamente limitada para mitigação, especialmente considerando que o tempo médio para detectar o comprometimento é de três dias, como descobriu o relatório Mandiant M-Trends”. A equipe do Splunk quantificou o tempo total para criptografar para dar aos defensores da rede mais conhecimento e a capacidade de se mover “à esquerda do boom” ou de forma proativa para fortalecer as defesas antes de um ataque.

Como o teste de velocidade funcionou

Aqui está como os pesquisadores do Splunk configuraram o experimento:

“…criamos uma versão modificada do ambiente de laboratório Splunk Attack Range para executar 10 amostras de cada uma das 10 variantes de ransomware em quatro hosts. Dois hosts executavam o sistema operacional Windows 10 e os outros dois hosts executavam o Windows Server 2019. … Atribuímos recursos de nível ‘alto’ ou ‘médio’ a cada host para testar como o ransomware se comportaria com diferentes configurações de processadores, memória e disco rígido. Habilitamos o log do Windows em cada host para coletar, sintetizar e analisar os dados no Splunk.”

O tempo total médio para criptografar foi de 42 minutos e 52 segundos. As famílias de ransomware mais rápidas funcionaram muito mais rápido do que isso:

1. Bit de bloqueio: 05:50
2. Babu: 06:34
3. Avadon: 13:15
4. Ryuk: 14:30
5. Revólver: 24:16
6. BlackMatter: 43:03
7. Lado Negro: 44:52
8. Continuação: 59:34
9. Labirinto: 01:54:33
10. Mespinoza (PYSA): 01:54:54

Pontos fortes e fracos nas famílias de ransomware

Os analistas do Splunk também queriam quantificar a velocidade de criptografia para cada amostra individual, bem como a velocidade média e a duração nas famílias de malware. Os pesquisadores descobriram que algumas famílias eram eficientes, enquanto outras usavam grandes porcentagens de tempo de CPU e taxas de acesso ao disco muito altas. Havia variedade dentro de uma família também: uma única variante Babuk era o software mais lento individualmente, mas a família como um todo era a segunda mais rápida no geral. Na análise do teste, os pesquisadores observaram que “não houve correlação direta entre uma amostra usando uma quantidade maior de recursos do sistema com uma velocidade de criptografia mais rápida. Algumas famílias de ransomware tiveram um desempenho pior, ou até travaram, quando implantadas nos sistemas de teste mais rápidos.”

A equipe SURGe do Splunk conduziu a pesquisa. O grupo de pesquisa estuda malware, responde a ataques e educa profissionais de TI e segurança sobre ameaças cibernéticas. O SURGe fornece às organizações orientação técnica durante ataques cibernéticos de alto perfil e sensíveis ao tempo por meio de guias de resposta, documentos de pesquisa, apresentações em conferências e webinars.