Estudo revela qual ransomware trava arquivos mais rapidamente

Um grupo de pesquisadores da Splunk conduziu uma bateria de testes para descobrir quais são os ransomwares mais ágeis do cenário atual. A ideia do experimento foi entender exatamente o tempo necessário para que uma praga desse tipo realize o travamento completo dos arquivos e a agilidade requerida de uma resposta a um incidente desse tipo; enquanto a média dos avaliados ficou em cerca de 42 minutos, o LockBit saiu na frente, executando todo o processo em pouco mais de cinco minutos.

• Ciberataques russos contra os EUA "vão acontecer", diz Biden
• Nestlé deixa de vender KitKat e Nesquik na Rússia após ataque do Anonymous

O Babuk ficou em segundo lugar, com pouco mais de seis minutos, enquanto o Avaddon realiza o processo de travamento dos arquivos em cerca de 15 minutos. Outros ransomwares conhecidos ficaram mais abaixo na tabela, como o REvil (24 minutos), Conti (59 minutos) e Maze (1h54).

Para realizar o levantamento, a equipe da Splunk realizou 400 testes que simulam características reais de sistemas infectados. Quatro perfis diferentes de vítimas foram criados em sistemas operacionais como Windows 10 e Windows Server 2019, com cerca de 98 mil arquivos e volumes de 53 GB. Do lado das pragas, foram 10 famílias diferentes de sequestradores digitais, cada uma delas com 10 variantes já utilizadas em ataques no mundo real.

Teste confirma que Lockbit é o ransomware mais rápido em ação

O experimento confirmou as bravatas que já eram dadas pela gangue LockBit, por exemplo, que afirma ter o ransomware mais letal e veloz do mercado ao divulgar seus serviços cibercriminosos. Por outro lado, nomes como Conti e Maze chamaram a atenção pelo tempo maior necessário para travamento dos arquivos, abrindo mais portas para que administradores e sistemas de segurança tomem atitudes para evitar a ação.

Para os especialistas, a verdadeira conclusão do estudo é que, acima da detecção de ataques, as corporações precisam estar focadas na prevenção. Cinco minutos é pouco tempo, 40 minutos pode ser o bastante, mas os pesquisadores lembram que o travamento de arquivos não é a única atividade realizada pelos ransomwares, que também são capazes de roubar dados, furtar credenciais ou abrir portas de entrada para terceiros em sistemas conectados.

O levantamento também chama a atenção para o fato de que os criminosos sabem do tempo necessário e, por isso, costumam realizar ataques em momentos de menor atenção, como durante a madrugada, finais de semana e feriados. É por isso que, mesmo com os prazos longos em alguns casos, boa parte dos ataques de sequestro digital são bem-sucedidos e capazes de gerar danos graves às organizações.

A chamada fase de reconhecimento, então, se torna o período mais importante para mitigação, acima do momento em que o ransomware é efetivamente ativado. É nessa situação, em que os criminosos ainda estão analisando a rede e identificando arquivos a serem sequestrados, que as equipes de segurança devem agir, detectando intrusões e atividades estranhas que devem ser bloqueadas antes da detonação do ataque.

Fonte: Splunk