image

Ransomware versleutelt 100.000 bestanden in gemiddeld 42 minuten

donderdag 24 maart 2022, 09:25 door Redactie, 13 reacties

Dagelijks worden organisaties getroffen door ransomware, maar hoelang duurt het voordat systemen zijn versleuteld? Onderzoekers van softwarebedrijf Splunk besloten dit te onderzoeken en lieten honderd ransomware-exemplaren 100.000 bestanden versleutelen. Bij elkaar ging het om 53 gigabyte aan data. Gemiddeld nam dit 42 minuten in beslag.

Er zitten echter grote verschillende tussen de verschillende ransomware-exemplaren. Voor het onderzoek werden honderd exemplaren van tien bekende ransomwarefamilies genomen. De snelste ransomware, LockBit, had iets meer dan vier minuten nodig, terwijl de traagste variant ruim 3,5 uur bezig was met het versleutelen van de 100.000 bestanden. De onderzoekers keken ook of betere hardware voor een snellere versleuteling zorgt. Dan blijkt dat meer werkgeheugen niet veel uitmaakt.

De processorsnelheid kan wel een impact hebben, maar sommige ransomware-exemplaren zijn niet in staat om van multithreaded processors gebruik te maken. Een snellere harde schijf kan wel een verschil maken, maar waarschijnlijk in combinatie met een ransomware-exemplaar dat meerdere cpu-cores kan gebruiken. Gezien de snelheid waarmee ransomware grote hoeveelheden data kan versleutelen laat dit volgens de onderzoekers zien dat organisaties weinig tijd hebben om in actie te komen voordat de versleuteling is afgerond.

Image

Reacties (13)
24-03-2022, 09:45 door Anoniem
Je snapt niet dat er niet wordt ingezet op detectie van plotselinge toenamen van de I/O activiteit vanuit een bepaald systeem.
Als een systeem ineens met tientallen MB/s en tientallen files per seconde gaat lezen en schrijven dan zou er toch wel een alarm af kunnen gaan.
24-03-2022, 09:48 door Xavier Ohole
Ransomware versleutelt 100.000 bestanden in gemiddeld 42 minuten

Zo! Dat is niet slecht! (qua snelheid)
24-03-2022, 10:12 door Anoniem
Door Anoniem: Je snapt niet dat er niet wordt ingezet op detectie van plotselinge toenamen van de I/O activiteit vanuit een bepaald systeem.
Als een systeem ineens met tientallen MB/s en tientallen files per seconde gaat lezen en schrijven dan zou er toch wel een alarm af kunnen gaan.
Is dat niet precies wat next-generation antivirussoftware doet?
24-03-2022, 10:15 door Anoniem
Door Anoniem: Je snapt niet dat er niet wordt ingezet op detectie van plotselinge toenamen van de I/O activiteit vanuit een bepaald systeem.
Als een systeem ineens met tientallen MB/s en tientallen files per seconde gaat lezen en schrijven dan zou er toch wel een alarm af kunnen gaan.

Veel anti-virus programma's hebben ondertussen al anti-ransomware bescherming.
24-03-2022, 11:06 door Anoniem
Door Anoniem: Je snapt niet dat er niet wordt ingezet op detectie van plotselinge toenamen van de I/O activiteit vanuit een bepaald systeem.
Als een systeem ineens met tientallen MB/s en tientallen files per seconde gaat lezen en schrijven dan zou er toch wel een alarm af kunnen gaan.
'

Dat is inderdaad wel iets wat ik me ook afvraag. Is het bijvoorbeeld niet mogelijk dat veelvuldige aanroepen naar een OS crypto API alarmbellen doet afgaan of simpelweg de actie stopt?

Of dat een crypto API die meer dan 1 GB versleutelt verplicht MFA nodig heeft of een soort van 4-ogen principe? Of verplicht andere maatregelen vereist die een drempel opwerpen?

Ik heb geen idee want ben geen OS specialist, maar op dat niveau moet toch veel meer mogelijk zijn dan nu aanwezig is, waarbij de tendens nu is zoiets van part of life, kies vooral sterke wachtwoorden, geen macro's activeren en vergeet niet te patchen jongens.
24-03-2022, 11:54 door Anoniem
Door Anoniem: Je snapt niet dat er niet wordt ingezet op detectie van plotselinge toenamen van de I/O activiteit vanuit een bepaald systeem.
Als een systeem ineens met tientallen MB/s en tientallen files per seconde gaat lezen en schrijven dan zou er toch wel een alarm af kunnen gaan.

Waarom denk je dat "opeens veel I/O gaan doen" heel abnormaal is - zodanig dat je er een grote paniektoeter alarm aan kunt hangen ?

Virusscanner , een of andere smart-indexer , backup, gebruiker die een stel directories gaat zippen of kopieert naar een andere share ?

Natuurlijk wil je als IT organisatie monitoren op "afwijkende patronen" - Het vergt alleen een stuk meer werk dan de meeste hobbyisten denken .
Afhankelijk van waarvoor systemen gebruikt worden kunnen heel wat dingen waarvan je dacht "kan niet normaal zijn" prima verklaarbaar - en normaal - zijn .
24-03-2022, 14:26 door Anoniem
Door Anoniem:
Door Anoniem: Je snapt niet dat er niet wordt ingezet op detectie van plotselinge toenamen van de I/O activiteit vanuit een bepaald systeem.
Als een systeem ineens met tientallen MB/s en tientallen files per seconde gaat lezen en schrijven dan zou er toch wel een alarm af kunnen gaan.

Waarom denk je dat "opeens veel I/O gaan doen" heel abnormaal is - zodanig dat je er een grote paniektoeter alarm aan kunt hangen ?

Virusscanner , een of andere smart-indexer , backup, gebruiker die een stel directories gaat zippen of kopieert naar een andere share ?

Natuurlijk wil je als IT organisatie monitoren op "afwijkende patronen" - Het vergt alleen een stuk meer werk dan de meeste hobbyisten denken .
Afhankelijk van waarvoor systemen gebruikt worden kunnen heel wat dingen waarvan je dacht "kan niet normaal zijn" prima verklaarbaar - en normaal - zijn .

Ik denk juist dat het alleen bij hobbyisten wellicht een probleem zou kunnen zijn en dat bij bedrijven de gebruikspatronen
veel constanter zijn en makkelijker op afwijkingen te scannen.
"bij ons" is het niet normaal dat mensen 100000 files gaan zippen of copieren. Als ze dat wel doen dan is een alarm
wellicht ook op zijn plaats want wellicht is dit diefstal van bedrijfsgegevens.
24-03-2022, 16:52 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Je snapt niet dat er niet wordt ingezet op detectie van plotselinge toenamen van de I/O activiteit vanuit een bepaald systeem.
Als een systeem ineens met tientallen MB/s en tientallen files per seconde gaat lezen en schrijven dan zou er toch wel een alarm af kunnen gaan.

Waarom denk je dat "opeens veel I/O gaan doen" heel abnormaal is - zodanig dat je er een grote paniektoeter alarm aan kunt hangen ?

Virusscanner , een of andere smart-indexer , backup, gebruiker die een stel directories gaat zippen of kopieert naar een andere share ?

Natuurlijk wil je als IT organisatie monitoren op "afwijkende patronen" - Het vergt alleen een stuk meer werk dan de meeste hobbyisten denken .
Afhankelijk van waarvoor systemen gebruikt worden kunnen heel wat dingen waarvan je dacht "kan niet normaal zijn" prima verklaarbaar - en normaal - zijn .

Ik denk juist dat het alleen bij hobbyisten wellicht een probleem zou kunnen zijn en dat bij bedrijven de gebruikspatronen
veel constanter zijn en makkelijker op afwijkingen te scannen.
"bij ons" is het niet normaal dat mensen 100000 files gaan zippen of copieren. Als ze dat wel doen dan is een alarm
wellicht ook op zijn plaats want wellicht is dit diefstal van bedrijfsgegevens.

Ken je patronen. Als je die goed genoeg kent heb je inderdaad de kans op afwijkingen in JOUW omgeving te zien , en is het prima om daarop te alarmeren en dan nader te kijken.
Weet je trouwens zeker dat 100K files processen niet normaal is voor een indexer, een backup of een virusscanner ?

Je hebt wel eens dat mensen, of afdelingen iets herorganiseren, en dan opeens een procentueel redelijk groot aantal files of MBs touchen omdat ze een stel projecten verschuiven ("afgerond_2021" ).

Als je een tijd in een bepaalde IT organisatie werkt en dat soort dingen goed genoeg monitort kun je een goede natte vinger krijgen voor wat in die omgeving een "raar" gedrag is - desondanks kun je daar nog wel in vergissen - nieuw project, afdeling die gaat samenwerken en een zwik data verschuift, opschoningen op kwartaal/halfjaar/jaar basis .

Ken je platform - en wees alert op afwijkingen. Het is alleen niet altijd zo simpel als roepen "veel files lezen is altijd abnormaal" .
24-03-2022, 16:57 door Anoniem
Door Anoniem:
Door Anoniem: Je snapt niet dat er niet wordt ingezet op detectie van plotselinge toenamen van de I/O activiteit vanuit een bepaald systeem.
Als een systeem ineens met tientallen MB/s en tientallen files per seconde gaat lezen en schrijven dan zou er toch wel een alarm af kunnen gaan.
'

Dat is inderdaad wel iets wat ik me ook afvraag. Is het bijvoorbeeld niet mogelijk dat veelvuldige aanroepen naar een OS crypto API alarmbellen doet afgaan of simpelweg de actie stopt?

Of dat een crypto API die meer dan 1 GB versleutelt verplicht MFA nodig heeft of een soort van 4-ogen principe? Of verplicht andere maatregelen vereist die een drempel opwerpen?

Het artikel gaat over de eigen crypto-engine performance van malware - die gebruiken dus geen "crypto API" van het OS.

De eigen crypto-API van het OS wordt bijvoorbeeld gebruitk voor bitlocker (of LUKS in Linux) . Als dingen netjes gebouwd zijn gaat dus gewoon alle disk IO normaal door "de" crypto API.



Ik heb geen idee want ben geen OS specialist, maar op dat niveau moet toch veel meer mogelijk zijn dan nu aanwezig is, waarbij de tendens nu is zoiets van part of life, kies vooral sterke wachtwoorden, geen macro's activeren en vergeet niet te patchen jongens.

Heb je ook rij-tips voor Max Verstappen , want een leek ziet ook misschien wel iets dat hij en z'n race engineer even niet doorhadden . Daar moet toch veel meer mogelijk zijn dan ze er bij RB uithalen ?
24-03-2022, 19:59 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Je snapt niet dat er niet wordt ingezet op detectie van plotselinge toenamen van de I/O activiteit vanuit een bepaald systeem.
Als een systeem ineens met tientallen MB/s en tientallen files per seconde gaat lezen en schrijven dan zou er toch wel een alarm af kunnen gaan.
'

Dat is inderdaad wel iets wat ik me ook afvraag. Is het bijvoorbeeld niet mogelijk dat veelvuldige aanroepen naar een OS crypto API alarmbellen doet afgaan of simpelweg de actie stopt?

Of dat een crypto API die meer dan 1 GB versleutelt verplicht MFA nodig heeft of een soort van 4-ogen principe? Of verplicht andere maatregelen vereist die een drempel opwerpen?

Het artikel gaat over de eigen crypto-engine performance van malware - die gebruiken dus geen "crypto API" van het OS.

Er zijn genoeg malware exemplaren die daar wel gebruik van maken. Zoek anders even op "ransomware uses cryptoapi" via Google. Je krijgt meer dan voldoende hits. Niet alleen voor versleuteling, maar ook voor versleutelde communicatie met de C2 server, key generation etc. Maar het idee achter het bericht was denk ik meer: hoe gaan we dit stoppen? Er is een overduidelijk probleem. Hoe nu verder? Blijven roepen dat we allemaal moeten patchen? Heeft de laataste jaren niet bijster veel geholpen, toch? Blijven we het nog een keer 4 jaar roepen, wetende dat iedereen tegenwoordig met een omscholingscursus programmeur kan worden zonder wat voor basale security en secure coding kennis dan ook? En dan verbaasd staan kijken dat het probleem nóg groter is geworden?
26-03-2022, 07:37 door Anoniem
Wanneer God een kerk bouwt,
Bouwt de duivel er een kapel naast.


Hoort erbij en we moeten er op acteren geen actie zonder reactie.
26-03-2022, 08:52 door Xavier Ohole - Bijgewerkt: 26-03-2022, 08:52
Door Anoniem:Heb je ook rij-tips voor Max Verstappen , want een leek ziet ook misschien wel iets dat hij en z'n race engineer even niet doorhadden . Daar moet toch veel meer mogelijk zijn dan ze er bij RB uithalen ?

Formule 1 zit tegenwoordig achter een eigen paywall, heeft de vaste bekende verslaggevers de deur gewezen en de fragmenten die ik van de nieuwe heb gezien zijn tenenkrommend irritant. Derhalve is Formule 1 dood voor mij. Helaas zie ik daarom geen Max Verstappen meer racen. Jammer.
31-03-2022, 10:35 door Aukje Weening
Door Anoniem: Je snapt niet dat er niet wordt ingezet op detectie van plotselinge toenamen van de I/O activiteit vanuit een bepaald systeem.
Als een systeem ineens met tientallen MB/s en tientallen files per seconde gaat lezen en schrijven dan zou er toch wel een alarm af kunnen gaan.

Met VDSS is dit prima te monitoren. Deze oplossing kijkt naar welke bestanden worden gewijzigd en kan processen en IP adressen in quarantaine plaatsen bij plotselinge toename van activiteit.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.