Исследователи из Splunk установили, сколько времени требуется различным штаммам ransomware для шифрования файлов на скомпрометированных системах.
В основу исследования были взяты 10 основных семейств ransomware, среди которых: Avaddon, Babuk, BlackMatter, Conti, DarkSide, LockBit, Maze, Mespinoza (PYSA), REvil и Ryuk. Шифровался подопытный массив из 98 561 файла общим размером около 53 Гб. Для чистоты эксперимента файлы хранились на четырех хостах — двух под управлением Windows 10 и двух под управлением Windows Server 2019.
Исследователи из Splunk провели 400 тестов шифрования с использованием различных инструментов, таких как собственное ведение журналов Windows, статистика Windows Perfmon, Microsoft Sysmon, Zeek и stoQ.
Замеры проходили по 10 образцам каждого семейства вредоносного ПО. Исследователи измерили время, которое потребовалось каждому образцу для шифрования 100 000 файлов, а в качестве итогового показателя того или иного штамма использовали усредненное значение. Помимо скорости и продолжительности шифрования, исследователи также изучали, как программа-вымогатель использует системные ресурсы.
Результаты показали, что LockBit стал самым быстрым со значением в 5 минут 50 секунд, за ним следует Babuk, у которого 6 минут 34 секунды. Avaddon достиг в среднем чуть более 13 минут, REvil зашифровал файлы примерно за 24 минуты, а BlackMatter и Darkside завершили шифрование за 45 минут. Conti зашифровал файлы менее чем за час, а Maze и Mespinoza показали самый худший результат — почти 2 часа. Среднее время по всем штаммам составило 43 минуты. Кстати, самый быстрый вариант LockBit шифровал 25 000 файлов в минуту.
Таким образом, после того, как процесс шифрования запущен у специалистов по ИБ есть не так много времени для реагирования, что указывает, по мнению Splunk, на чрезвычайную сложность реального противодействия угрозам ransomware. Кроме того, критические данные уже на начальном этапе могут оказаться зашифрованы.
С другой стороны, время является важным фактором обнаружения атак, это не единственным: существуют также периоды разведки, горизонтальное перемещение, кражу учетных данных, повышение привилегий, эксфильтрацию данных, отключение теневых копий и многое другое.
Анализ также показал, что объем памяти устройства, по-видимому, не оказывает существенного влияния на процесс. Однако скорость диска может привести к более быстрому шифрованию, но это реализуемо, если вредоносное ПО также может в полной мере использовать возможности ЦП.
Некоторые из штаммов были весьма эффективны, в то время как другие, как правило, использовали значительный объем ресурса процессора наряду с очень высокой скоростью доступа к диску.
При этом какой-либо прямой корреляции между использованием системных ресурсов и скоростью шифрования не обнаружено. Исследователи также отметили, что некоторые образцы ransomware работали хуже или даже аварийно завершали работу при развертывании на более быстрых тестовых системах.
В целом результаты Splunk демонстрируют, что необходимо сместить акцент с реагирования на инциденты на предотвращение заражения ransomware.
Следует заранее озаботиться сохранностью ваших данных — установить Антилокер для защиты от шифровальщиков.