I ricercatori di sicurezza di Splunk hanno condotto un esperimento tecnico su dieci diverse varianti ransomware: si tratta di un vero e proprio speed test per verificare quale ransomware proceda più velocemente alla criptazione dei dati. Un problema, quello della velocità di criptazione, non da poco perchè più un ransomware è veloce a propagarsi e criptare i dati minori sono i tempi di reazione che si hanno a disposizione per intervenire, anche fosse solo per staccare le macchine.
Come funziona un ransomware in breve
I ransomware, una volta in esecuzione, per prima cosa solitamente enumerano sia i file che le directoory presenti sulla macchina compromessa. Questo è necessario per selezionare obiettivi valida da criptare. In seguito procede alla criptazione rendendo indisponibili i dati a chiunque non abbia a disposizione la corrispondente chiave di criptazione. Questa tecnica impedisce ai proprietari l'accesso ai dati. Vi sono comunque stati anche casi di ransomare che hanno prodotto la distruzione dei dati, l'interruzione delle operazioni e dei servizi e così via... tutto è finalizzato alla richiesta di un riscatto in criptovalute che la vittima deve corrispondere agli attaccanti per ricevere la chiave di decriptazione.
Si capisce quindi perchè è molto importante sapere quanto velocemente un dispositivo viene criptato, poichè più rapidamente il ransomware viene individuato, meno danni sono arrecati e, di conseguenza, si riduce il volume dei dati che devono essere ripristinati.
Il test di Splunk
I ricercatori di Splunk hanno eseguito oltre 400 test di criptazione, testando 10 diverse famiglie ransomware, più versioni della stessa famiglia e 4 diversi profili host per riflettere differenti performance.
Insomma hanno condotto un attacco ransomware simulando 4 diverse vittime, con diversi profili tra Windows 10 e Windows Server 2019. Ciascuna di queste "vittime" aveva diversi livelli di performance, simulate tenendo conto dell'ambiente di lavoro e delle reti reali di diversi clienti Splunk.
La velocità di criptazione è stata testata su oltre 98.500 files, per un totale di 53 GB circa. Son stati usati, per le rilevazioni, tool divverenti come Microsoft Sysmon, stoQ, Windows Perormance Monitor (Perfmon) ecc...
Per i più curiosi il report completo è disponibile qui
Diamo i numeri
Il tempo medio di crtiptazione per tutti e 100 i differenti campioni è stato di 42 minuti e 52 secondi. Ma questo, sottolineiamo, è un valore mediano: alcune famiglie o specifiche varianti ransowmare mostrano tempi molto molto più contenuti.
 |
| Fonte: https://www.splunk.com/en_us/pdfs/resources/whitepaper/an-empirically-comparative-analysis-of-ransomware-binaries.pdf |
Qui abbiamo la prima pessima notizia per l'Italia: il ransomware più veloce nel criptare i dati è il ben noto LockBit, che riesce a criptare 53GB in 5 minuti e 50 secondi circa. Tra le varie versioni di Lockbit, quella più veloce (2.0) cripta oltre 25.000 file al minuto. Non è un caso che, nella pagina promozionale con la quale il gruppo cerca nuoviaffiliati, sia ripetuta come punto di forza del ransomware Lockbit proprio la velocità di criptazione.
Per approfondire > LockBit, il ransomware che predilige le aziende italiane, si evolve. Ora colpisce anche le macchine virtuali
Seguono poi i ransomware Babuk e Avaddon, che, per nostra fortuna, non si sono "affezionati troppo" al'Italia. Revil, BlackMatter e Darkside, divenuti famosi per essere stati tra i primi ransomware ad effettuare la doppia estorsione (1 riscatto per la chiave di decriptazione, 1 riscatto per non vedere pubblicati i file esfiltrati dalla rete prima della criptazione) si piazzano rispettivamente 4°, 5° e 6° con tempi di 14.30 minuti, 24.16 minuti, 43.03 minuti.
Di contro, tra i più lenti è possibile trovare il ransomware Conti, anche questo ben noto in Italia e il "defunto" Maze, che ad oggi non è più operativo.
Per approfondire > Una buona notizia: il ransomware Maze cessa le operazioni
Il fattore tempo è importante, ma non è l'unico e neppure il principale
Il report spiega anche che, per quanto il fattore tempo sia importante per fronteggiare un attacco ransomware, questo non è l'unica opportunità per individuare un attacco. Infatti il tempo che il malware impiega a criptare i dati non è l'unico lasso necessario agli attaccanti: un attacco ransomware si articola anche in periodi di analisi e ricognizione, di movimenti laterali, di esfiltrazione dei dati, di cancellazione delle copie shadow dei volumi, dell'escalation di privilegi ecc.. queste sono tutte attività che richiedono, anch'esse, il proprio tempo di esecuzione determinando maggiori possibilità di invididuzione dell'infezione.
Però, è proprio lo schema crittografico scelto dal ransomware che determina, alla fine della criptazione, quanto saranno durature e gestibili le conseguenze dell'attacco. Insomma, la velocità di criptazione è importante ma, ribadiscono gli esperti di Splunk, sarebbe un errore valutare la pericolosità del ransomware da questo fattore. Se infatti un ransomware veloce riduce i tempi a disposizione per reagire, la sua vera forza andrebbe misurata nella sua capacità di produrre uno schema di criptazione solido e di impedire il ripristino. In altre parole data la velocità di criptazione dei ransomware, gli esperti spiegano che una volta che un ransomware è distribuito nella rete, sarebbe irrealistico e sbagliato concentrarsi sulla mitigazione.
Ecco perchè l'attenzione delle aziende rispetto alla gestione degli attacchi ransomware dovrebbe spostarsi dalla risposta agli incidenti alla prevenzione delle infezioni. Perchè possiamo stilare le classifiche dei ransomware più veloci, ma un tempo medio di 43 minuti è una ridottissima finestra di opportunità per i team IT a difesa delle reti.
Aggiungendo poi che sono ormai molteplici i report che indicano come il tempo medio di rilevazione delle compromissioni è di 3 giorni, si capisce come divenga del tutto impossibile pensare di vincere questa corsa contro il tempo. A questo gli attacanti aggiungono un livello di difficoltà ulteriore: è ormai consuetudine quella di attaccare le reti aziendali durante le festività, i week end o il periodo estivo, quando cioè le aziende sono o ferme o non c'è la presenza del team IT.
Un ultimo suggerimento degli esperti di SPlunk è che sono invece molto utili gli strumenti di individuazione di attività sospette, ovviamente se queste avvengono prima della distribuzione del ransomware nella rete. In dettaglio sono utili il monitoraggio di attività sospette nella rete, attività insusuali negli account, l'individuzione di tool largamente impiegati durante gli attacchi come Cob al Strike, Mimikatz, Metasploit, PSExec ecc...
Nessun commento:
Posta un commento