【極速作案】最快的勒索軟件 4分鐘內加密10萬個檔案
愈來愈多防禦措施用於抵擋勒索軟件攻擊,但黑客一於「你有張良計,我有過牆梯」,其攻擊方法也愈趨高明。Splunk 的最新研究就警告,一旦勒索軟件的加密過程開始,被攻擊一方只有 43 分鐘的時間來緩解該攻擊,運作得最快的勒索軟件,甚至能在 4 分鐘將 10 萬個檔案加密。
安全監控和數據分析供應公司 Splunk 早前評估了 10 種勒索軟件變體加密數據的速度,並編制出《An Empirically Comparative Analysis of Ransomware Binaries》報告。Splunk 使用其 Splunk Attack Range 實驗室的受控環境,在四部主機上執行了 10 個變體中各自的 10 個樣本;當中兩部主機運行 Windows 10 系統,另外兩部則運行 Windows Server 2019 系統,然後將之測試了勒索軟件加密近 100,000 個檔案的速度,而這些檔案總計近 53GB。
結果發現 LockBit 的速度最快,速度比中位數 43 分鐘快 86%,其中最快的 LockBit 樣本能在每分鐘加密 25,000 個文件。然而,最快的速度(僅用了四分鐘)和最慢的變體(總共需 3.5 小時)之間的速度存在顯著差異。Splunk 分析的變體按照最快的依次是 LockBit、Babuk、Avaddon、Ryuk、REvil、BlackMatter、DarkSide、Conti、Maze、Mespinoza(Pysa)。
報告指出,從平均運作時間可見,一旦加密過程開始,響應勒索軟件攻擊的時間有限。考慮到災難性的頂點,可能是單個重要檔案被加密,而不是受害者的全部數據遭加密時,解救或可能會受到更大的限制。在這些因素的影響下,一旦加密過程開始,大多數企業組織可能很難減輕勒索軟件攻擊。Splunk 認為,企業組織必須更快地發現勒索軟件入侵的警告訊號,將重點放在預防入侵上。
Splunk 以 Lockheed Martin Model 為例,指出如果一個組織希望防禦勒索軟件,很明顯他們需要在 Cyber Kill Chain 中向左移動,並在 Delivery 及 Exploition 時進行檢測,而不是 Action on Objective。但就目前情況而言,大多數組織遠未實現如此快速的檢測和響應。
