🔥Adquiere tu membresía:  acceso a todos los cursos, videos eliminados, contenidos protegidos, manuales y más. >> Ver Más

Esta es la velocidad de cifrado de 10 de los tipos de ransomware más conocidos

Un grupo de investigadores realizaron un experimento técnico. Ellos testearon diez variantes de ransomware para determinar qué tan rápido cifran los archivos y evaluar qué tan factible sería responder a tiempo a sus ataques.

El ransomware es un tipo de malware que enlista los archivos y directorios en una máquina comprometida, selecciona objetivos y luego cifra los datos. Por lo tanto, se vuelve imposible acceder a los datos sin una clave de descifrado correspondiente.

Esto evita que el propietario de los datos acceda a los archivos, por lo que los ataques de ransomware se llevan a cabo para la destrucción de datos y la interrupción operativa o la extorsión financiera. El objetivo es exigir el pago de un rescate a cambio de una clave de descifrado.

La rapidez con la que se cifra un dispositivo es importante, ya que cuanto más rápido se detecta, menos daño se produce. Además, la cantidad de datos que es necesario restaurar se reduce al mínimo.

Poniendo a prueba el ransomware

Los investigadores de Splunk realizaron 400 pruebas de cifrado. Estas pruebas constaban de 10 familias diferentes, diez muestras por familia y cuatro perfiles de host diferentes que reflejaban diferentes especificaciones de rendimiento.

“Creamos cuatro perfiles de ‘víctima’ diferentes que consisten en los sistemas operativos Windows 10 y Windows Server 2019, cada uno con dos especificaciones de rendimiento diferentes comparadas con los entornos de los clientes”. 

“Luego elegimos 10 familias de ransomware diferentes y 10 muestras de cada una de esas familias para testear”.

Informe de Splunk

Durante estas pruebas, los investigadores evaluaron la velocidad de cifrado en 98, 561 archivos con un total de 53 GB. Para ello utilizaron varias herramientas, como el registro nativo de Windows, las estadísticas de Perfmon de Windows, Microsoft  Sysmon,  Zeek y  stoQ.

El hardware del sistema host y las configuraciones del sistema operativo variaron para reflejar una configuración de red corporativa realista.  Los analistas midieron todos los tiempos de  cifrado y derivaron la velocidad media de cifrado para cada variante.

La mediana de tiempo total para las 100 muestras diferentes de las diez cepas de ransomware en los equipos de prueba fue de 42 minutos y 52 segundos.

Ransomware más rápido

Sin embargo, como se refleja en la siguiente tabla, algunas muestras de ransomware se desviaron significativamente de este valor medio.

Tiempos de cifrado promedio para cada ransomware

El “ganador” y la cepa más letal en los márgenes de tiempo de respuesta fue LockBit. LockBit registró un promedio de 5 minutos y 50 segundos. La variante de LockBit más rápida cifró 25,000 archivos por minuto.

LockBit se ha jactado durante mucho tiempo en su página de promoción de afiliados de que es el ransomware más rápido para cifrar archivos. Asimismo, la banda ha publicado sus propios puntos de referencia contra más de 30 cepas de ransomware diferentes.

El alguna vez prolífico Avaddon logró un promedio de poco más de 13 minutos. Asimismo, REvil cifró archivos en aproximadamente 24 minutos y BlackMatter y Darkside completaron el cifrado en 45 minutos.

En el lado más lento, Conti necesitó casi una hora para cifrar los 53 GB de datos de prueba, mientras que Maze y PYSA terminaron en casi dos horas.

El factor tiempo

Si bien el tiempo es un factor importante, no es la única oportunidad de detección en los ataques de ransomware. Estos ataques generalmente involucran períodos de reconocimiento, movimiento lateral, robo de credenciales, aumento de privilegios, exfiltración de datos, desactivación de instantáneas y más.

Todas las posibles oportunidades de detección en un ataque de ransomware

Una vez que finaliza el cifrado, es la fuerza del esquema de cifrado en sí mismo lo que determina cuán duraderas o manejables serán las consecuencias del ataque. Por lo tanto, la fuerza es más importante que la velocidad.

El poco tiempo para responder cuando finalmente se implementa el ransomware destaca que centrarse en esa oportunidad particular de detección y mitigación es poco realista, Y, en última instancia, incorrecto.

Como señaló Splunk, esta investigación demuestra la necesidad de que las organizaciones cambien el enfoque de la respuesta a incidentes a la prevención de infecciones de ransomware.

La mediana general de 43 minutos es una pequeña ventana de oportunidad para que los defensores de la red detecten actividad de ransomware. Debemos considerar que estudios anteriores han encontrado que el tiempo promedio para detectar un compromiso es de tres días.

Dado que la mayoría de los grupos de ransomware atacan durante los fines de semana cuando los equipos de informática no tienen suficiente personal. Por ello, la mayoría de los intentos de cifrado se completan con éxito. Es decir, el tiempo de cifrado no debería ser una consideración importante para los defensores.

Protección

En última instancia, la mejor defensa es detectar actividad inusual durante la etapa de reconocimiento, incluso antes de que se implemente el ransomware.

Esto incluye buscar actividad sospechosa en la red, actividad inusual en la cuenta y la detección de herramientas comúnmente utilizadas antes de un ataque. Estas herramientas pueden ser Cobalt Strike, ADFind, Mimikatz, PsExec, Metasploit y Rclone.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información