| Para peneliti telah melakukan eksperimen teknis, menguji 10 varian ransomware untuk menentukan seberapa cepat mereka mengenkripsi file dan mengevaluasi seberapa layak untuk merespons serangan dengan tepat waktu. Ransomware adalah malware yang menghitung file dan direktori pada mesin yang disusupi, memilih target enkripsi yang valid, kemudian mengenkripsi data, sehingga tidak bisa diakses tanpa kunci dekripsi yang sesuai. Ransomware adalah malware yang menghitung file dan direktori pada mesin yang disusupi, memilih target enkripsi yang valid, kemudian mengenkripsi data, sehingga tidak bisa diakses tanpa kunci dekripsi yang sesuai. Serangan ransomware dilakukan untuk menghancurkan data dan gangguan operasional, atau pemerasan finansial. Seberapa cepat perangkat dienkripsi itu penting karena semakin cepat terdeteksi, semakin sedikit kerusakan yang terjadi, dan volume data yang perlu dipulihkan terjaga agar tetap minimum. |
| Ransomware Speed Test Para peneliti di Splunk melakukan 400 tes enkripsi yang terdiri dari 10 keluarga berbeda, sepuluh sampel per keluarga dan 4 profil host berbeda, yang mencerminkan spesifikasi kinerja yang berbeda. “Kami membuat 4 profil “korban” berbeda yang terdiri dari sistem operasi Windows 10 dan Windows Server 2019, masing-masing dengan dua spesifikasi kinerja berbeda yang dibandingkan dari lingkungan pelanggan,” jelas Splunk dalam laporan mereka. “Kemudian kami memilih 10 keluarga ransomware yang berbeda dan 10 sampel dari masing-masing keluarga tersebut untuk diuji.” Selama pengujian ini, para peneliti mengevaluasi kecepatan enkripsi terhadap 98.561 file dengan total 53 GB dengan berbagai alat, seperti logging Windows asli, statistik Windows Perfmon, Microsoft Sysmon, Zeek dan stoQ. Total waktu rata-rata untuk semua 100 sampel berbeda dari sepuluh jenis ransomware pada rig pengujian, yaitu 42 menit dan 52 detik. Namun, sebagaimana tercermin dalam tabel berikut, beberapa sampel ransomware menyimpang secara signifikan dari nilai median ini. |
| “Pemenang” dan ketegangan paling mematikan dalam margin waktu respons adalah LockBit, yang mencapai rata-rata 5 menit 50 detik. Varian LockBit tercepat mengenkripsi 25.000 file per menit. LockBit telah lama menyatakan di halaman promosi afiliasi mereka bahwa mereka adalah ransomware tercepat untuk mengenkripsi file dengan merilis tolok ukur mereka sendiri terhadap lebih dari 30 jenis ransomware yang berbeda. Avaddon yang dulu produktif mencapai rata-rata lebih dari 13 menit, REvil mengenkripsi file dalam waktu sekitar 24 menit dan BlackMatter dan Darkside menyelesaikan enkripsi dalam 45 menit. Di sisi yang lebih lambat, Conti membutuhkan hampir satu jam untuk mengenkripsi data uji 54 GB, sementara Maze dan PYSA selesai dalam hampir dua jam. Faktor Waktu Meskipun waktu merupakan faktor penting, ini bukan satu-satunya peluang deteksi dalam serangan ransomware yang biasanya melibatkan periode pengintaian, pergerakan lateral, pencurian kredensial, eskalasi hak istimewa, eksfiltrasi data, penonaktifan salinan bayangan, dan banyak lagi. |
| Setelah enkripsi selesai, kekuatan skema enkripsi itu sendiri yang menentukan seberapa tahan lama atau seberapa dapat dikelola konsekuensi dari serangan itu, jadi kekuatan lebih penting daripada kecepatan. Sebagaimana dicatat dalam laporan Splunk, penelitian ini menunjukkan perlunya sebuah perusahaan/organisasi untuk mengalihkan fokus dari respons insiden ke pencegahan infeksi ransomware. Rata-rata keseluruhan 43 menit adalah peluang bagi tim IT jaringan untuk mendeteksi aktivitas ransomware, mengingat penelitian sebelumnya telah menemukan bahwa waktu rata-rata untuk mendeteksi kompromi adalah 3 hari. Pada akhirnya, pertahanan terbaik adalah mendeteksi aktivitas yang tidak biasa selama tahap pengintaian, bahkan sebelum ransomware disebarkan. Termasuk mencari aktivitas jaringan yang mencurigakan, aktivitas akun yang tidak biasa, dan deteksi alat yang biasa digunakan sebelum serangan, seperti Cobalt Strike, ADFind, Mimikatz, PsExec, Metasploit dan Rclone. author by Bitdefender |
Recent Comments