Araştırmacılar, dosyaları ne kadar hızlı şifrelediklerini belirlemek ve saldırılara zamanında yanıt vermenin ne kadar uygun olacağını değerlendirmek için on fidye yazılımı varyantını test ederek teknik bir deney gerçekleştirdi.
Fidye yazılımı, güvenliği ihlal edilmiş bir makinedeki dosyaları ve dizinleri sıralayan, geçerli şifreleme hedeflerini seçen ve ardından verileri şifreleyen kötü amaçlı yazılımdır, bu nedenle ilgili bir şifre çözme anahtarı olmadan kullanılamaz.
Bu, veri sahibinin dosyalara erişmesini engeller, bu nedenle fidye yazılımı saldırıları ya veri imhası ve operasyonel aksama için yapılır ya da bir şifre çözme anahtarı karşılığında fidye ödenmesini talep eden finansal gasp için gerçekleştirilir.
Bir cihazın ne kadar hızlı şifrelendiği önemlidir, çünkü ne kadar hızlı tespit edilirse o kadar az hasar verilir ve geri yüklenmesi gereken veri hacmi minimumda tutulur.
Fidye yazılımını test etmek
Splunk’taki araştırmacılar, 10 farklı aileden, aile başına on örnekten ve farklı performans özelliklerini yansıtan dört farklı ana bilgisayar profilinden oluşan 400 şifreleme testi gerçekleştirdi.
Splunk, “Windows 10 ve Windows Server 2019 işletim sistemlerinden oluşan, her biri müşteri ortamlarından kıyaslanan iki farklı performans özelliğine sahip dört farklı “kurban” profili oluşturduk” dedi. rapor.
“Daha sonra test etmek için 10 farklı fidye yazılımı ailesi ve bu ailelerin her birinden 10 örnek seçtik.”
Bu testler sırasında araştırmacılar, yerel Windows günlüğü, Windows Perfmon istatistikleri, Microsoft gibi çeşitli araçları kullanarak toplam 53 GB’lık 98.561 dosyaya karşı şifreleme hızını değerlendirdi. sistem, Zeekve stok.
Ana sistem donanımı ve işletim sistemi yapılandırmaları, gerçekçi bir kurumsal ağ ayarını yansıtacak şekilde değişiklik gösterdi ve analistler tüm şifreleme sürelerini ölçtüler ve her bir değişken için ortalama şifreleme hızını elde ettiler.
Test donanımlarındaki on fidye yazılımı türünün 100 farklı örneğinin tümü için toplam medyan süre 42 dakika 52 saniyeydi.
Ancak, aşağıdaki tabloda yansıtıldığı gibi, bazı fidye yazılımı örnekleri bu ortalama değerden önemli ölçüde sapmıştır.
“Kazanan” ve yanıt süresi marjlarında en ölümcül gerginlik, ortalama 5 dakika ve 50 saniyeye ulaşan LockBit oldu. En hızlı LockBit varyantı, dakikada 25.000 dosyayı şifreledi.
LockBit, bağlı kuruluş tanıtım sayfalarında, dosyaları şifrelemek için en hızlı fidye yazılımı olduklarını uzun zamandır övünüyor ve 30’dan fazla farklı fidye yazılımı türüne karşı kendi kıyaslamalarını yayınladı.
Bir zamanlar üretken olan Avaddon ortalama 13 dakikanın biraz üzerinde bir süreye ulaştı, REvil dosyaları yaklaşık 24 dakikada şifreledi ve BlackMatter ve Darkside şifrelemeyi 45 dakikada tamamladı.
Daha yavaş tarafta, Conti’nin 54 GB’lık test verilerini şifrelemek için neredeyse bir saate ihtiyacı vardı, Maze ve PYSA ise yaklaşık iki saatte bitirdi.
zaman faktörü
Zaman önemli bir faktör olsa da, tipik olarak keşif dönemleri, yanal hareket, kimlik bilgilerinin çalınması, ayrıcalık yükseltme, veri hırsızlığı, gölge kopyaların devre dışı bırakılması ve daha fazlasını içeren fidye yazılımı saldırılarında tek tespit fırsatı değildir.
Şifreleme sona erdikten sonra, saldırının sonuçlarının ne kadar uzun süreli veya yönetilebilir olacağını belirleyen şey şifreleme şemasının gücüdür, bu nedenle güç hızdan daha önemlidir.
Fidye yazılımı nihai olarak dağıtıldığında yanıt vermek için gereken kısa süre, söz konusu tespit ve azaltma fırsatına odaklanmanın gerçekçi olmadığını ve nihayetinde yanlış olduğunu vurgular.
Splunk raporunda belirtildiği gibi, bu araştırma kuruluşların odağını olay yanıtından fidye yazılımı bulaşmasını önlemeye kaydırması gerektiğini göstermektedir.
43 dakikalık genel medyan, önceki çalışmaların güvenlik ihlalini tespit etmek için ortalama sürenin üç gün olduğunu bulduğunu göz önünde bulundurarak, ağ savunucularının fidye yazılımı etkinliğini algılaması için küçük bir fırsat penceresidir.
Çoğu fidye yazılımı grubu, BT ekiplerinin yeterli sayıda personel bulunmadığı hafta sonları saldırıya uğradığından, çoğu şifreleme girişimi başarıyla tamamlanır, bu nedenle şifreleme süresi savunucular için önemli bir husus olmamalıdır.
Sonuç olarak en iyi savunma, fidye yazılımı dağıtılmadan önce keşif aşamasında olağandışı faaliyetleri tespit etmektir.
Buna şüpheli ağ etkinliği, olağandışı hesap etkinliği ve bir saldırıdan önce yaygın olarak kullanılan Cobalt Strike, ADFind, Mimikatz, PsExec, Metasploit ve Rclone gibi araçların algılanması dahildir.