I ricercatori di sicurezza di Splunk hanno condotto un esperimento tecnico su dieci diverse varianti ransomware: si tratta di un vero e proprio speed test per verificare quale ransomware proceda più velocemente alla criptazione dei dati. Un problema, quello della velocità di criptazione, non da poco perchè più un ransomware è veloce a propagarsi e criptare i dati minori sono i tempi di reazione che si hanno a disposizione per intervenire, anche fosse solo per staccare le macchine.
Come funziona un ransomware in breve
I ransomware, una volta in esecuzione, per prima cosa solitamente enumerano sia i file che le directoory presenti sulla macchina compromessa. Questo è necessario per selezionare obiettivi valida da criptare. In seguito procede alla criptazione rendendo indisponibili i dati a chiunque non abbia a disposizione la corrispondente chiave di criptazione. Questa tecnica impedisce ai proprietari l'accesso ai dati. Vi sono comunque stati anche casi di ransomare che hanno prodotto la distruzione dei dati, l'interruzione delle operazioni e dei servizi e così via... tutto è finalizzato alla richiesta di un riscatto in criptovalute che la vittima deve corrispondere agli attaccanti per ricevere la chiave di decriptazione.
Si capisce quindi perchè è molto importante sapere quanto velocemente un dispositivo viene criptato, poichè più rapidamente il ransomware viene individuato, meno danni sono arrecati e, di conseguenza, si riduce il volume dei dati che devono essere ripristinati.
Il test di Splunk
I ricercatori di Splunk hanno eseguito oltre 400 test di criptazione, testando 10 diverse famiglie ransomware, più versioni della stessa famiglia e 4 diversi profili host per riflettere differenti performance.
Insomma hanno condotto un attacco ransomware simulando 4 diverse vittime, con diversi profili tra Windows 10 e Windows Server 2019. Ciascuna di queste "vittime" aveva diversi livelli di performance, simulate tenendo conto dell'ambiente di lavoro e delle reti reali di diversi clienti Splunk.
La velocità di criptazione è stata testata su oltre 98.500 files, per un totale di 53 GB circa. Son stati usati, per le rilevazioni, tool divverenti come Microsoft Sysmon, stoQ, Windows Perormance Monitor (Perfmon) ecc...
Per i più curiosi il report completo è disponibile qui
Diamo i numeri
Il tempo medio di crtiptazione per tutti e 100 i differenti campioni è stato di 42 minuti e 52 secondi. Ma questo, sottolineiamo, è un valore mediano: alcune famiglie o specifiche varianti ransowmare mostrano tempi molto molto più contenuti.