Programy ransomware szyfrują pliki szybciej niż sądzono

Informatycy postanowili zbadać, ile czasu szkodliwe programy ransomware potrzebują na zaszyfrowanie plików na zaatakowanym komputerze oraz które robią to najszybciej. Okazuje się, że generalnie wszystkie badane programy ransomware wykonują taką operację szybciej niż pierwotnie sądzono. Niektóre programy ransomware potrzebowały na wykonanie takiej operacji tylko kilku minut.

Grafika: Jack Moreh/freerangestock

Badanie przeprowadzili informatycy z firmy Splunk. Jeden z najbardziej rozpowszechnionych programów ransomware potrafi zaszyfrować kilkaset tysięcy plików w zaledwie 5 minut. Informatycy wzięli na warsztat dziesięć głównych i najlepiej znanych programów ransomware. Najszybszym z nich okazał się malware LockBit, który zaszyfrował 100 000 plików w zaledwie 5 minut i 50 sekund, a w jednym z testów zaszyfrowanie plików o ogólnej wielkości 53,83 GB zajęło LockBitowi tylko 4 minuty i 9 sekund.

Drugie miejsce w tym rankingu zajmuje ransomware Babuk, który potrzebował na zaszyfrowanie tej samej puli plików 6 minut i 34 sekundy. Oprogramowaniu ransomware Avaddon zajęło to 13 minut i 15 sekund, a kolejnemu (Ryuk) 14 minut i 30 sekund. Kolejne miejsce przypadło oprogramowaniu REvil, czyli jednemu z najbardziej groźnych w zeszłym roku narzędziu tego typu (24 minuty i 16 sekund).

Zobacz również:

  • Jak zabezpieczać systemy OT
  • W sklepie Google Play nie brakuje wirusów - zwłaszcza w przypadku aplikacji finansowych
  • Veeam: ataki ransomware są coraz silniejsze

A oto wyniki uzyskane przez następne programy ransomware: BlackMatter (43 minuty i 3 sekundy), Darkside – znanemu z ataku na Colonial Pipeline (44 minuty i 52 sekundy, Conti – program znany z szeregu głośnych incydentów (59 minut i 34 sekundy) oraz Maze i PYSA (1 godzina i 54 minuty). Warto od razu zauważyć, że czas szyfrowania nie zawsze jest tak istotny, np. gdy malware atakuje swą ofiarę poza godzinami pracy, w nocy lub w weekend.

Dwie z najczęstszych technik stosowanych przez cyberprzestępców do włamywania się do systemów i przeprowadzania ataków ransomware, to wykorzystywanie słabych haseł oraz wykorzystywanie niezałatanych luk w oprogramowaniu. Dlatego ważne jest, aby zachęcać użytkowników do używania silnych haseł oraz stosowania uwierzytelniania wieloskładnikowego, jako dodatkowej bariery chroniącej firmy przed atakami. Działy bezpieczeństwa informacji i IT powinny łatać na bieżąco wszelkie pojawiające się luki w zabezpieczeniach oraz identyfikować potencjalnie podejrzaną aktywność, rozpoznając zagrożenie jeszcze przed rozpoczęciem ataku na pełną skalę.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200