Xakep #305. Многошаговые SQL-инъекции
Аналитики компании Splunk провели более 400 тестов различных шифровальщиков, чтобы определить, насколько быстро они шифруют файлы, и оценить возможность своевременного реагирования на такие атаки.
Исследователи проверяли «скорость работы» 10 наиболее распространенных семейств малвари, выбрав 10 образцов для каждого семейства (Avaddon, Babuk, BlackMatter, Conti, DarkSide, LockBit, Maze, Mespinoza, REvil и Ryuk).
Вредоносов заставили зашифровать около 100 000 файлов общим размером около 54 Гб. Файлы хранились на четырех хостах — двух под управлением Windows 10 и двух под управлением Windows Server 2019. Помимо скорости и продолжительности шифрования, исследователи также изучали, как программа-вымогатель использует системные ресурсы.
Исследователи измерили время, которое потребовалось каждому вредоносу для шифрования 100 000 файлов, и использовали среднее значение, чтобы вычислить скорость каждого семейства малвари. Результаты показали, что LockBit оказался самым быстрым с 5 минутами 50 секундами (более 25 000 файлов в минуту), за ним следует Babuk с 6 минутами 34 секундами. Малварь Conti шифровала файлы чуть меньше часа, а Maze и Mespinoza оказались самыми медленными: их результат составил почти два часа. Среднее время шифрования данных в итоге равняется 42 минутам и 52 секундам.
«Средняя продолжительность шифрования демонстрирует, какое ограниченное время для ответа на атаку вымогателей [есть у специалистов], когда процесс шифрования уже запущен, — отмечают исследователи. — Оно может быть ограничено даже больше, учитывая, какая катастрофа может произойти, если будет зашифрован хотя бы один критический файл, а не все данные жертвы. С такими показателями большинству организаций может быть чрезвычайно сложно и почти невозможно [реагировать на атаки] или смягчать атаки программ-вымогателей после начала процесса шифрования».
Также анализ показал, что лишь некоторые вредоносы используют оборудование для ускорения процесса шифрования. Объем памяти устройства, по-видимому, не оказывает существенного влияния на этот процесс, зато скорость диска работы может ускорить шифрование, хотя такое наиболее вероятно в том случае, если вредоносное ПО сможет в полной мере использовать возможности ЦП.
«Некоторые семейства демонстрировали высокую эффективность, тогда как другие использовали большой процент процессорного времени наряду с очень высокой скоростью обращения к диску. Однако нет прямой связи между образцом, использующим большее количество системных ресурсов, с более высокой скоростью шифрования. Некоторые семейства вымогателей работали хуже или даже аварийно завершали работу при развертывании на более быстрых тестовых системах», — отмечается в отчете.