2022/03/24

A velocidade dos ransomware

Os ransomware são a praga mais temida do momento, mas há diferenças significativas a nível da velocidade com que cada um pode encriptar os ficheiros das vítimas.

Testar a velocidade de encriptação de vários ransomwares é o tipo de teste que poderia imaginar-se nunca ser necessário fazer, mas a verdade é que há tem o tenha feito, e os resultados são bastante interessantes.

Neste caso, temos uma prova de velocidade entre 10 ransomwares, medindo o tempo que demoram a encriptar os computadores das vítimas, utilizando vários perfis diferentes (Windows 10, Windows Server 2019) num total de 54 GB de dados, para obter um resultado mais representativo do que se terá em circunstâncias reais.
Embora seja lógico assumir que a velocidade do disco / SSD da vítima vá ter papel preponderante, a verdade é que existe uma grande diferença entre as velocidades com que os diversos ransomwares conseguem bloquear os ficheiros.

O "campeão" foi o LockBit, que conseguiu encriptar as máquinas em menos de 6 minutos(!), com o Babuk a ficar logo atrás, a menos de 1 minuto de distância. No final da tabela, o Maze e PYSA demoraram 1 hora e 54 minutos.

No meio da tabela, ainda entre o grupo dos mais rápidos, temos o Avaddon, Ryuk e Revil, com tempos entre os 13 e 24 minutos; seguidos dos BlackMatter, Darkside e Conti, com tempos entre 43 e 59 minutos.


Normalmente, os ataques de ransomware são programados para efectuarem este processo em horários em que os utilizadores não notem a actividade, pelo que mesmo os mais lentos têm boas probabilidades de completarem o processo sem serem detectados - mas com alguns deles a fazerem-no em poucos minutos, quase não dão tempo para que um utilizador perceba o que se está a passar. Numa empresa, enquanto faz o telefonema para o departamento de assistência técnica a dizer que detectou algo estranho (actividade continuada do disco / SSD), já ficou encriptado.


Já sabem... Backups, backups, backups!

Sem comentários:

Enviar um comentário (problemas a comentar?)