Analistas da empresa de ciência de dados Splunk realizaram um estudo sobre a velocidade do ransomware mais comum. O detentor do recorde foi o algoritmo Lockbit, que criptografa pouco menos de 25.000 arquivos por minuto.
Fonte da imagem: Pete Linforth / pixabay.com
Várias famílias de ransomware foram amostradas como cobaias, incluindo Lockbit, Conti e Revil. A eficácia do malware variou bastante, mas a taxa média para criptografar cerca de 100.000 arquivos com um volume total de 53,93 GB foi de 42 minutos e 52 segundos. O algoritmo Lockbit foi o mais rápido – 86% mais rápido que a mediana; o programa de amostra mais eficiente criptografou cerca de 25.000 arquivos em menos de um minuto. Os autores do projeto estão confiantes de que os resultados do estudo não são apenas de interesse estatístico – os dados podem ser usados para otimizar a proteção contra ransomware. A empresa prometeu publicar o relatório em uma seção especial de seu site.
Como parte do estudo, os especialistas selecionaram as 10 famílias de ransomware mais comuns e, em cada uma delas, levaram 10 cópias de arquivos binários. Espaços privados na Amazon Web Services foram escolhidos como um site de teste, onde todas as amostras de malware foram executadas em quatro hosts: dois executando o Windows 10 e dois executando o Windows Server 2019. Toda a telemetria de desempenho foi transmitida para uma instância central para análise posterior.
As famílias de ransomware foram selecionadas do banco de dados VirusTotal com base em sua prevalência nos últimos dois anos. Os “finalistas” foram LockBit, Babuk, Avaddon, Ryuk, REvil, BlackMatter, Darkside, Conti, Maze e Mespinoza. O tempo médio de execução da família de ransomware LockBit foi o mais curto entre todos — foi de 5 minutos e 5 segundos. Vale ressaltar que esse tempo praticamente não dependeu da configuração da máquina virtual. O resultado acabou sendo lógico, pois a família de malware LockBit criptografa apenas 4 KB de cada arquivo, violando a integridade dos dados, e depois passa para o próximo, enquanto o restante dos representantes desse “zoo” criptografa os arquivos inteiros, o que previsivelmente leva mais tempo. A mais lenta foi a família Mespinoza com um tempo médio de pouco menos de 2 horas.