您的位置:中国传媒网>科技>科技要闻>正文

Splunk最新研究发现,勒索软件在45分钟内可加密近10万个文件

2022/4/7 14:08:24 来源:

自 Splunk 去年启动 SURGe 网络安全研究机构以来,我们的战略网络安全专家团队一直在忙于帮助安全部门应对各种网络攻击和安全事件。近日,我们发布了新的勒索软件研究结果,分析了包括 Lockbit、REvil 和 Blackmatter 在内的十种主要勒索软件毒株加密 10 万个文件的速度。

安全研究人员和网络防御人员撰写了很多关于勒索软件的论述,但很多企业还只是在策略方法上对此类攻击做出反应,而不是主动有意识的积极应对。这在一定程度上是因为缺乏勒索软件的相关基本知识。勒索软件的加密速度是很值得深入研究的领域。Splunk 通过研究表明,勒索软件变体加密近 10 万个文件(总计 53.93GB)的中位数时间是 42分 52 秒。这么短的时间为企业在加密完成之前有效地进行响应提供了有限的窗口。成功的勒索软件会导致企业无法访问关键 IP、员工信息和客户数据。

SURGe 工作的目的是为日常维护人员提供具有可操作性的知识,我们最新的研究探索了以前似乎只有勒索软件犯罪分子才涉足的研究领域。当涉及勒索软件感染时,很多安全团队专注于缓解和响应,然而,我们在报告中发现的勒索软件加密速度超出了大多数企业的缓解和响应能力。基于这项研究,可以肯定地说,如果一家企业受到了勒索软件攻击,要阻止其扩散可能为时已晚。

总体而言,报告揭示了勒索软件的影响可能会因不同的毒株和资源而波动。研究的主要发现包括:

· 勒索软件变体之间的加密速度不同:单个勒索软件样本的加密速度差异很大,从四分钟到三个半小时不等。

· Lockbit 的速度超过了同类:LockBit 是值得注意的勒索软件即服务(RaaS),无论基于什么系统,它都是加密速度最快的变体,其速度比中位数快 86%。最快的 LockBit样本每分钟就加密了几乎 25K 的文件。

· 相同的勒索软件毒株因系统不同而表现各异。增强的硬件功能为大多数勒索软件样本提供了更快的加密速度,但一些样本和变体似乎无法利用多线程处理器。

· 更多的内存对任何样本的加密速度都没有显著影响。

· 更快的硬盘速度有利于快速执行,但最有可能是与可以利用更多CPU内核的变体相结合。

最终,这项研究表明,企业应该从响应和缓解转移到专注于防止勒索软件感染。企业可以采取的预防感染的实际步骤和策略包括:打好补丁、列好资产清单、MFA,以及在犯罪分子部署勒索软件二进制代码之前便在网络上发现这些犯罪分子。此外,SURGe 不仅创建了数据,还会将数据发布到 bots.splunk.com 网络卫士上,以供人们分析和检查。我们鼓励蓝方防御团队和研究人员亲自看看我们的发现和成果。

这是今年计划发布的几份白皮书中的第一份,这些白皮书将公布与各地安全团队相关的研究结果——您今天就不妨拿份勒索软件研究白皮书吧。

研究方法

在这项研究中,我们创建了一个修改版的 Splunk Attack Range 试验环境,在四台具备中级到高级规格的主机上分别执行 10 个勒索软件变体每一种的 10 个样本:两台运行操作系统 Windows 10,另两台运行 Server 2019。SURGe 在每台主机上启用 Windows 日志,用于在 Splunk 中收集、整理和分析数据。这使得研究人员能够测量勒索软件变体加密近 10 万个文件的速度,以及勒索软件怎样利用处理器、内存和硬盘等系统资源。( 作者:Splunk 杰出安全策略师 Ryan Kovar )

关于 SURGe

SURGe 成立于 2021 年 10 月,是 Splunk 的战略性网络安全研究机构,致力于对影响世界的网络威胁进行研究、响应和教育。作为值得信赖的顾问,SURGe 通过研究论文、会议论文和网络研讨会上的响应指南和深入分析,在备受瞩目、时间敏感的网络攻击中为企业提供技术指导。企业可以依靠 SURGe 来提供适当的情境和及时的建议,这样他们就能够充满自信和智能地应对全球安全事件。

关于 Splunk 公司

Splunk 公司(纳斯达克股票代码:SPLK)帮助世界各地的企业将数据转化为行动。Splunk技术旨在对任何规模的数据进行调查、监控、分析和处理。