Publicidade

Estudo revela qual ransomware trava arquivos mais rapidamente

Por  • Editado por Claudio Yuge | 

Compartilhe:
Blog Kaspersky
Blog Kaspersky

Um grupo de pesquisadores da Splunk conduziu uma bateria de testes para descobrir quais são os ransomwares mais ágeis do cenário atual. A ideia do experimento foi entender exatamente o tempo necessário para que uma praga desse tipo realize o travamento completo dos arquivos e a agilidade requerida de uma resposta a um incidente desse tipo; enquanto a média dos avaliados ficou em cerca de 42 minutos, o LockBit saiu na frente, executando todo o processo em pouco mais de cinco minutos.

O Babuk ficou em segundo lugar, com pouco mais de seis minutos, enquanto o Avaddon realiza o processo de travamento dos arquivos em cerca de 15 minutos. Outros ransomwares conhecidos ficaram mais abaixo na tabela, como o REvil (24 minutos), Conti (59 minutos) e Maze (1h54).

Para realizar o levantamento, a equipe da Splunk realizou 400 testes que simulam características reais de sistemas infectados. Quatro perfis diferentes de vítimas foram criados em sistemas operacionais como Windows 10 e Windows Server 2019, com cerca de 98 mil arquivos e volumes de 53 GB. Do lado das pragas, foram 10 famílias diferentes de sequestradores digitais, cada uma delas com 10 variantes já utilizadas em ataques no mundo real.

Canaltech
O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia
Continua após a publicidade

Teste confirma que Lockbit é o ransomware mais rápido em ação

O experimento confirmou as bravatas que já eram dadas pela gangue LockBit, por exemplo, que afirma ter o ransomware mais letal e veloz do mercado ao divulgar seus serviços cibercriminosos. Por outro lado, nomes como Conti e Maze chamaram a atenção pelo tempo maior necessário para travamento dos arquivos, abrindo mais portas para que administradores e sistemas de segurança tomem atitudes para evitar a ação.

Para os especialistas, a verdadeira conclusão do estudo é que, acima da detecção de ataques, as corporações precisam estar focadas na prevenção. Cinco minutos é pouco tempo, 40 minutos pode ser o bastante, mas os pesquisadores lembram que o travamento de arquivos não é a única atividade realizada pelos ransomwares, que também são capazes de roubar dados, furtar credenciais ou abrir portas de entrada para terceiros em sistemas conectados.

O levantamento também chama a atenção para o fato de que os criminosos sabem do tempo necessário e, por isso, costumam realizar ataques em momentos de menor atenção, como durante a madrugada, finais de semana e feriados. É por isso que, mesmo com os prazos longos em alguns casos, boa parte dos ataques de sequestro digital são bem-sucedidos e capazes de gerar danos graves às organizações.

A chamada fase de reconhecimento, então, se torna o período mais importante para mitigação, acima do momento em que o ransomware é efetivamente ativado. É nessa situação, em que os criminosos ainda estão analisando a rede e identificando arquivos a serem sequestrados, que as equipes de segurança devem agir, detectando intrusões e atividades estranhas que devem ser bloqueadas antes da detonação do ataque.

Fonte: Splunk