Ransomware versleutelt 100.000 bestanden in gemiddeld 42 minuten
Dagelijks worden organisaties getroffen door ransomware, maar hoelang duurt het voordat systemen zijn versleuteld? Onderzoekers van softwarebedrijf Splunk besloten dit te onderzoeken en lieten honderd ransomware-exemplaren 100.000 bestanden versleutelen. Bij elkaar ging het om 53 gigabyte aan data. Gemiddeld nam dit 42 minuten in beslag.
Er zitten echter grote verschillende tussen de verschillende ransomware-exemplaren. Voor het onderzoek werden honderd exemplaren van tien bekende ransomwarefamilies genomen. De snelste ransomware, LockBit, had iets meer dan vier minuten nodig, terwijl de traagste variant ruim 3,5 uur bezig was met het versleutelen van de 100.000 bestanden. De onderzoekers keken ook of betere hardware voor een snellere versleuteling zorgt. Dan blijkt dat meer werkgeheugen niet veel uitmaakt.
De processorsnelheid kan wel een impact hebben, maar sommige ransomware-exemplaren zijn niet in staat om van multithreaded processors gebruik te maken. Een snellere harde schijf kan wel een verschil maken, maar waarschijnlijk in combinatie met een ransomware-exemplaar dat meerdere cpu-cores kan gebruiken. Gezien de snelheid waarmee ransomware grote hoeveelheden data kan versleutelen laat dit volgens de onderzoekers zien dat organisaties weinig tijd hebben om in actie te komen voordat de versleuteling is afgerond.
Als een systeem ineens met tientallen MB/s en tientallen files per seconde gaat lezen en schrijven dan zou er toch wel een alarm af kunnen gaan.
Zo! Dat is niet slecht! (qua snelheid)
Als een systeem ineens met tientallen MB/s en tientallen files per seconde gaat lezen en schrijven dan zou er toch wel een alarm af kunnen gaan.
Als een systeem ineens met tientallen MB/s en tientallen files per seconde gaat lezen en schrijven dan zou er toch wel een alarm af kunnen gaan.
Veel anti-virus programma's hebben ondertussen al anti-ransomware bescherming.
Als een systeem ineens met tientallen MB/s en tientallen files per seconde gaat lezen en schrijven dan zou er toch wel een alarm af kunnen gaan.
Dat is inderdaad wel iets wat ik me ook afvraag. Is het bijvoorbeeld niet mogelijk dat veelvuldige aanroepen naar een OS crypto API alarmbellen doet afgaan of simpelweg de actie stopt?
Of dat een crypto API die meer dan 1 GB versleutelt verplicht MFA nodig heeft of een soort van 4-ogen principe? Of verplicht andere maatregelen vereist die een drempel opwerpen?
Ik heb geen idee want ben geen OS specialist, maar op dat niveau moet toch veel meer mogelijk zijn dan nu aanwezig is, waarbij de tendens nu is zoiets van part of life, kies vooral sterke wachtwoorden, geen macro's activeren en vergeet niet te patchen jongens.
Als een systeem ineens met tientallen MB/s en tientallen files per seconde gaat lezen en schrijven dan zou er toch wel een alarm af kunnen gaan.
Waarom denk je dat "opeens veel I/O gaan doen" heel abnormaal is - zodanig dat je er een grote paniektoeter alarm aan kunt hangen ?
Virusscanner , een of andere smart-indexer , backup, gebruiker die een stel directories gaat zippen of kopieert naar een andere share ?
Natuurlijk wil je als IT organisatie monitoren op "afwijkende patronen" - Het vergt alleen een stuk meer werk dan de meeste hobbyisten denken .
Afhankelijk van waarvoor systemen gebruikt worden kunnen heel wat dingen waarvan je dacht "kan niet normaal zijn" prima verklaarbaar - en normaal - zijn .
Als een systeem ineens met tientallen MB/s en tientallen files per seconde gaat lezen en schrijven dan zou er toch wel een alarm af kunnen gaan.
Waarom denk je dat "opeens veel I/O gaan doen" heel abnormaal is - zodanig dat je er een grote paniektoeter alarm aan kunt hangen ?
Virusscanner , een of andere smart-indexer , backup, gebruiker die een stel directories gaat zippen of kopieert naar een andere share ?
Natuurlijk wil je als IT organisatie monitoren op "afwijkende patronen" - Het vergt alleen een stuk meer werk dan de meeste hobbyisten denken .
Afhankelijk van waarvoor systemen gebruikt worden kunnen heel wat dingen waarvan je dacht "kan niet normaal zijn" prima verklaarbaar - en normaal - zijn .
Ik denk juist dat het alleen bij hobbyisten wellicht een probleem zou kunnen zijn en dat bij bedrijven de gebruikspatronen
veel constanter zijn en makkelijker op afwijkingen te scannen.
"bij ons" is het niet normaal dat mensen 100000 files gaan zippen of copieren. Als ze dat wel doen dan is een alarm
wellicht ook op zijn plaats want wellicht is dit diefstal van bedrijfsgegevens.
Als een systeem ineens met tientallen MB/s en tientallen files per seconde gaat lezen en schrijven dan zou er toch wel een alarm af kunnen gaan.
Waarom denk je dat "opeens veel I/O gaan doen" heel abnormaal is - zodanig dat je er een grote paniektoeter alarm aan kunt hangen ?
Virusscanner , een of andere smart-indexer , backup, gebruiker die een stel directories gaat zippen of kopieert naar een andere share ?
Natuurlijk wil je als IT organisatie monitoren op "afwijkende patronen" - Het vergt alleen een stuk meer werk dan de meeste hobbyisten denken .
Afhankelijk van waarvoor systemen gebruikt worden kunnen heel wat dingen waarvan je dacht "kan niet normaal zijn" prima verklaarbaar - en normaal - zijn .
Ik denk juist dat het alleen bij hobbyisten wellicht een probleem zou kunnen zijn en dat bij bedrijven de gebruikspatronen
veel constanter zijn en makkelijker op afwijkingen te scannen.
"bij ons" is het niet normaal dat mensen 100000 files gaan zippen of copieren. Als ze dat wel doen dan is een alarm
wellicht ook op zijn plaats want wellicht is dit diefstal van bedrijfsgegevens.
Ken je patronen. Als je die goed genoeg kent heb je inderdaad de kans op afwijkingen in JOUW omgeving te zien , en is het prima om daarop te alarmeren en dan nader te kijken.
Weet je trouwens zeker dat 100K files processen niet normaal is voor een indexer, een backup of een virusscanner ?
Je hebt wel eens dat mensen, of afdelingen iets herorganiseren, en dan opeens een procentueel redelijk groot aantal files of MBs touchen omdat ze een stel projecten verschuiven ("afgerond_2021" ).
Als je een tijd in een bepaalde IT organisatie werkt en dat soort dingen goed genoeg monitort kun je een goede natte vinger krijgen voor wat in die omgeving een "raar" gedrag is - desondanks kun je daar nog wel in vergissen - nieuw project, afdeling die gaat samenwerken en een zwik data verschuift, opschoningen op kwartaal/halfjaar/jaar basis .
Ken je platform - en wees alert op afwijkingen. Het is alleen niet altijd zo simpel als roepen "veel files lezen is altijd abnormaal" .
Als een systeem ineens met tientallen MB/s en tientallen files per seconde gaat lezen en schrijven dan zou er toch wel een alarm af kunnen gaan.
Dat is inderdaad wel iets wat ik me ook afvraag. Is het bijvoorbeeld niet mogelijk dat veelvuldige aanroepen naar een OS crypto API alarmbellen doet afgaan of simpelweg de actie stopt?
Of dat een crypto API die meer dan 1 GB versleutelt verplicht MFA nodig heeft of een soort van 4-ogen principe? Of verplicht andere maatregelen vereist die een drempel opwerpen?
Het artikel gaat over de eigen crypto-engine performance van malware - die gebruiken dus geen "crypto API" van het OS.
De eigen crypto-API van het OS wordt bijvoorbeeld gebruitk voor bitlocker (of LUKS in Linux) . Als dingen netjes gebouwd zijn gaat dus gewoon alle disk IO normaal door "de" crypto API.
Ik heb geen idee want ben geen OS specialist, maar op dat niveau moet toch veel meer mogelijk zijn dan nu aanwezig is, waarbij de tendens nu is zoiets van part of life, kies vooral sterke wachtwoorden, geen macro's activeren en vergeet niet te patchen jongens.
Heb je ook rij-tips voor Max Verstappen , want een leek ziet ook misschien wel iets dat hij en z'n race engineer even niet doorhadden . Daar moet toch veel meer mogelijk zijn dan ze er bij RB uithalen ?
Als een systeem ineens met tientallen MB/s en tientallen files per seconde gaat lezen en schrijven dan zou er toch wel een alarm af kunnen gaan.
Dat is inderdaad wel iets wat ik me ook afvraag. Is het bijvoorbeeld niet mogelijk dat veelvuldige aanroepen naar een OS crypto API alarmbellen doet afgaan of simpelweg de actie stopt?
Of dat een crypto API die meer dan 1 GB versleutelt verplicht MFA nodig heeft of een soort van 4-ogen principe? Of verplicht andere maatregelen vereist die een drempel opwerpen?
Het artikel gaat over de eigen crypto-engine performance van malware - die gebruiken dus geen "crypto API" van het OS.
Er zijn genoeg malware exemplaren die daar wel gebruik van maken. Zoek anders even op "ransomware uses cryptoapi" via Google. Je krijgt meer dan voldoende hits. Niet alleen voor versleuteling, maar ook voor versleutelde communicatie met de C2 server, key generation etc. Maar het idee achter het bericht was denk ik meer: hoe gaan we dit stoppen? Er is een overduidelijk probleem. Hoe nu verder? Blijven roepen dat we allemaal moeten patchen? Heeft de laataste jaren niet bijster veel geholpen, toch? Blijven we het nog een keer 4 jaar roepen, wetende dat iedereen tegenwoordig met een omscholingscursus programmeur kan worden zonder wat voor basale security en secure coding kennis dan ook? En dan verbaasd staan kijken dat het probleem nóg groter is geworden?
Bouwt de duivel er een kapel naast.
Hoort erbij en we moeten er op acteren geen actie zonder reactie.
Formule 1 zit tegenwoordig achter een eigen paywall, heeft de vaste bekende verslaggevers de deur gewezen en de fragmenten die ik van de nieuwe heb gezien zijn tenenkrommend irritant. Derhalve is Formule 1 dood voor mij. Helaas zie ik daarom geen Max Verstappen meer racen. Jammer.
Als een systeem ineens met tientallen MB/s en tientallen files per seconde gaat lezen en schrijven dan zou er toch wel een alarm af kunnen gaan.
Met VDSS is dit prima te monitoren. Deze oplossing kijkt naar welke bestanden worden gewijzigd en kan processen en IP adressen in quarantaine plaatsen bij plotselinge toename van activiteit.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.