Sécurité

Un ransomware chiffre près de 100 000 fichiers en moins de 45 minutes

Depuis que nous avons lancé SURGe l’année dernière, notre équipe d’experts en cybersécurité stratégique s’est attelée à aider les équipes de sécurité à faire face à un éventail de cyberattaques et d’incidents de sécurité. Aujourd’hui, nous publions une nouvelle recherche sur les ransomwares, qui a analysé la rapidité avec laquelle dix souches majeures de ransomwares, dont Lockbit, REvil et Blackmatter, pouvaient chiffrer 100 000 fichiers.

La recherche a révélé que la variante médiane des ransomwares peut chiffrer près de 100 000 fichiers totalisant 53,93 Go en 42 minutes et 52 secondes. Une infection par ransomware réussie peut priver les organisations d’un accès aux IP critiques, aux informations sur les employés et aux données clients.

L’objectif de SURGe est de fournir aux acteurs quotidiens de la défense des connaissances exploitables, et nos dernières recherches se penchent sur un domaine d’étude que seuls les opérateurs de ransomware semblent avoir analysé. De nombreuses équipes de sécurité se concentrent sur l’atténuation et la réponse pour lutter contre les ransomwares, mais les vitesses de chiffrement que nous avons observées dans notre rapport dépassent les capacités de la plupart des organisations. Sur la base de cette recherche, on peut dire sans trop s’avancer qu’à l’instant où une entreprise est victime d’une attaque de ransomware, il peut déjà être trop tard pour l’empêcher de se propager.

Dans l’ensemble, le rapport a révélé que l’impact des ransomwares peut varier selon les souches et les ressources. Les principales conclusions de la recherche sont les suivantes :

  • les vitesses de chiffrement varient selon les variantes de ransomware : la vitesse de chiffrement des différents échantillons de ransomware variait considérablement, de quatre minutes à trois heures et demie ;
  • LockBit est loin devant le peloton : LockBit, un ransomware-as-a-service (RaaS) remarquable, était la variante la plus rapide, tous systèmes confondus, avec des vitesses supérieures de 86 % à la médiane. L’échantillon LockBit le plus rapide a chiffré près de 25 000 fichiers par minute ;
  • des souches de ransomware identiques peuvent donner des résultats variables d’un système à l’autre. L’amélioration des capacités matérielles a permis à la plupart des échantillons de ransomware d’augmenter les vitesses de chiffrement, mais certains échantillons et variantes semblaient incapables de tirer parti des processeurs multithreads ;
    • augmenter la mémoire ne semble pas avoir d’effet significatif sur les échantillons,
    • des vitesses de disque plus élevées peuvent jouer un rôle dans la rapidité d’exécution, mais c’est très probablement le cas des variantes capables de tirer parti de cœurs de processeur supplémentaires.

En fin de compte, cette recherche démontre la nécessité pour les organisations de se concentrer sur la prévention des infections par ransomware plutôt que sur la réaction et l’atténuation. Les mesures et les stratégies concrètes que les organisations peuvent mettre en œuvre pour prévenir les infections sont nombreuses : correctifs de meilleure qualité, inventaire des actifs, MFA et recherche d’acteurs de ransomwares sur le réseau avant le déploiement des binaires. En outre, le travail de SURGe ne se résume pas seulement à créer les données, mais également à les publier sur les défenseurs réseau bots.splunk.com pour qu’elles soient analysées et examinées. Nous encourageons les équipes bleues et les chercheurs à examiner nos travaux par eux-mêmes.

Il s’agit du premier livre blanc d’une série qui dévoilera les résultats de recherche utiles aux équipes de sécurité du monde entier. N’hésitez pas à vous procurer un exemplaire du livre blanc Analyse empiriquement comparative des binaires de ransomware dès aujourd’hui. Consultez également le blog de Shannon Davis pour en savoir plus sur la recherche.


Méthodologie

Pour cette recherche, SURGe a créé une version modifiée de l’environnement de laboratoire Splunk Attack Range pour y exécuter dix échantillons de chacune des dix variantes de ransomware contre quatre hôtes avec des spécifications matérielles moyennes et élevées : deux sous Windows 10 et les deux autres sous Server 2019. SURGe a activé la journalisation Windows sur chaque hôte pour collecter, synthétiser et analyser les données dans Splunk. Les chercheurs ont ainsi pu mesurer la vitesse à laquelle les variantes du ransomware ont chiffré près de 100 000 fichiers et de quelle façon le ransomware utilisait les ressources système comme le processeur, la mémoire et le disque.

À propos de SURGe

Créé en octobre 2021, SURGe est la branche de recherche stratégique sur la cybersécurité de Splunk dédiée à la recherche, à la réponse et à l’éducation sur les cybermenaces qui affectent le monde. En tant que conseiller de confiance, SURGe fournit aux organisations des conseils techniques lors de cyberattaques de grande envergure et urgentes, sous la forme de guides de réponse et d’analyses approfondies publiées dans des documents de recherche, des documents de conférence et des webinaires. Les entreprises peuvent compter sur SURGe pour recevoir des éléments de contexte utiles et des recommandations pertinentes qui les aideront à gérer les incidents de sécurité mondiaux avec confiance et intelligence.

*Cet article est une traduction de celui initialement publié sur le blog Splunk anglais.

Splunk
Posted by

Splunk