IT-Sicherheit

Ransomware verschlüsselt fast 100.000 Dateien in unter 45 Minuten

SRansomware Studieeit dem Launch von SURGe im letzten Jahr hat unser Team aus strategischen Cybersicherheitsexperten vielen unterschiedlichen Security-Teams bei der Bewältigung verschiedener Cyberangriffe und Security-Incidents geholfen. Jetzt haben wir eine neue Ransomware Studie, veröffentlicht, bei der wir untersucht haben, wie schnell zehn der wichtigsten Ransomware-Varianten wie Lockbit, REvil und Blackmatter 100.000 Dateien verschlüsseln können.  

Die Studie zeigte, dass eine Ransomware-Variante im Median fast 100.000 Dateien mit einer Gesamtgröße von 53,93 GB in 42 Minuten und 52 Sekunden verschlüsseln kann. Eine erfolgreiche Ransomware-Infektion kann den Zugriff eines Unternehmens auf wichtiges geistiges Eigentum, Mitarbeiterinformationen und Kundendaten blockieren.

SURGe möchte mit seiner Arbeit Verteidigungsteams in Unternehmen mit praktischem Wissen für ihren Alltag unterstützen. Unsere neueste Studie gilt einem Bereich, dem bisher scheinbar nur Ransomware-Entwickler Aufmerksamkeit gewidmet haben. Viele Cybersecurity-Teams konzentrieren sich bei Ransomware-Infektionen auf deren Eindämmung und Abwehr. Allerdings übersteigen die Verschlüsselungsgeschwindigkeiten, die wir bei unserer Studie festgestellt haben, die Möglichkeiten der meisten Unternehmen. Angesichts unserer Ergebnisse kann man mit ziemlicher Sicherheit sagen, dass wenn ein Unternehmen Opfer eines Ransomware-Angriffs wurde, es wahrscheinlich bereits zu spät ist, die Ausbreitung noch zu stoppen.

Insgesamt ergab die Studie, dass die Auswirkungen von Ransomware je nach Variante und Ressourcen variieren. Hier einige der wichtigsten Ergebnisse der Studie:

  • Die Verschlüsselungsgeschwindigkeiten der verschiedenen Ransomware-Varianten variieren: Die Verschlüsselungsgeschwindigkeiten der einzelnen Ransomware-Varianten fielen sehr unterschiedlich aus und reichten von vier Minuten bis zu dreieinhalb Stunden.
  • LockBit hängt die Konkurrenz ab: LockBit, ein bemerkenswerter Ransomware-as-a-Service (RaaS), erreichte auf jedem der Systeme mit Abstand die höchsten Verschlüsselungsgeschwindigkeiten (mit 86 % über dem Durchschnittswert). Die schnellste LockBit-Variante verschlüsselte knapp 25.000 Dateien pro Minute.
  • Die Geschwindigkeit identischer Ransomware-Varianten kann abhängig vom System variieren: Bei besserer Hardware erreichten die meisten Ransomware-Varianten höhere Verschlüsselungsgeschwindigkeiten. Doch einige Varianten und Unterarten schienen Multithreading-Prozessoren nicht zu ihrem Vorteil nutzen zu können.
    • Zusätzlicher Arbeitsspeicher schien keine signifikante Auswirkung auf die Varianten zu haben.
    • Höhere Festplattengeschwindigkeiten könnten aufgrund der schnelleren Ausführungsgeschwindigkeit eine Rolle spielen. Dies gilt aber höchstwahrscheinlich nur in Kombination mit Varianten, die auch von zusätzlichen CPU-Kernen profitieren.

Im Endeffekt zeigt die Studie, dass sich Unternehmen weniger auf die Reaktion und Schadensbegrenzung, sondern vielmehr auf das Vorbeugen von Ransomware-Infektionen konzentrieren sollten. Zu den praktischen Schritten und Strategien, mit denen Unternehmen Infektionen verhindern können, gehören besseres Patching, ein Asset Inventory, Multi-Faktor-Authentifizierung sowie die Suche nach Ransomware-Akteuren im Netzwerk, bevor diese ihre Ransomware-Binärdateien verteilen. Übrigens hat SURGe die Daten nicht nur erstellt, sondern wird sie auch unter bots.splunk.com veröffentlichen, damit "Network Defender" sie selbst analysieren und prüfen können. Blue Teams und Bedrohungsforscher sind herzlich eingeladen, sich selbst ein Bild von unserer Arbeit zu machen. 

Dies ist das erste einer Reihe von Whitepaper in diesem Jahr, in denen wir Forschungsergebnisse vorstellen, die für Security-Teams in aller Welt relevant sind – holt euch am besten noch heute eine Kopie der Studie An Empirically Comparative Analysis of Ransomware Binaries (aktuell nur auf Englisch verfügbar). Lest am besten auch den Blog von Shannon Davis – dort findet ihr weitere Informationen zu unserer Untersuchung.


Methodik

Für diese Studie richtete SURGe eine modifizierte Version des Splunk Attack Range Environments ein, um Varianten von jeder der zehn Ransomware-Familien auf vier Hosts mit Hardware der Mittel- und Oberklasse auszuführen. Auf zwei der Hosts wurde das Betriebssystem Windows 10, auf den beiden anderen Windows Server 2019 ausgeführt. SURGe aktivierte auf jedem Host das Windows-Logging, um die Daten zu erfassen, zusammenzuführen und in Splunk zu analysieren. So konnten die Forscher messen, wie schnell die Ransomware-Varianten fast 100.000 Dateien verschlüsselten und wie die Ransomware dabei Systemressourcen wie Prozessor, Arbeitsspeicher und Festplatte nutzte.

Über SURGe

SURGe wurde im Oktober 2021 ins Leben gerufen und ist Splunks strategischer Cyber-Security-Forschungsbereich. Aufgabe des Teams ist es, Cyberbedrohungen mit weltweiten Auswirkungen zu untersuchen, darauf zu reagieren und darüber zu informieren. Als vertrauenswürdiger Ratgeber bietet SURGe technische Hilfestellung bei bekannten, zeitkritischen Cyberangriffen mit Response-Leitfäden und tiefgreifenden Analysen in Form von Studien, Vorträgen und Webinaren. Unternehmen können sich darauf verlassen, dass SURGe zeitnah passenden Kontext und Empfehlungen bereitstellt, damit sie globalen Security-Incidents selbstbewusst und informiert entgegen treten können.