Des chercheurs ont évalué la vitesse de chiffrement de 10 ransomwares
Les chercheurs en sécurité de Splunk ont réalisé une expérience technique plutôt intéressante, qui consiste à tester 10 ransomwares différents dans le but de déterminer la rapidité avec laquelle ils chiffrent les fichiers sur une machine compromise. Grâce à ces résultats, il est plus facile d'évaluer la faisabilité d'une réponse rapide à leurs attaques.
Lorsqu'un ransomware entre en action sur une machine, il va chiffrer l'intégralité des données afin que celles-ci deviennent inutilisables par l'entreprise. Dans le cas où les données sont chiffrées, l'entreprise a trois options : payer la rançon, ce qui est déconseillé pour ne pas encourager les travaux des cybercriminels ; restaurer les données à partir d'une sauvegarde ; tirer un trait sur les données, ce qui n'est pas si simple !
Ransomware : quel est le plus rapide ?
Du coup, la vitesse de chiffrement est importante, car plus vite il est détecté, moins il aura le temps de chiffrer de données, et donc moins les dommages seront importants.
Pour mener à bien leur expérience technique qui consiste à faire un benchmark des ransomwares en quelque sorte, les chercheurs en sécurité de Splunk ont utilisé :
- 4 profils de machines avec des niveaux de performance différents
- 10 ransomwares distincts, avec à chaque fois 10 échantillons
- 400 tests de chiffrement pour établir leur tableau de synthèse (10 x 10 x 4 en fait !)
Plus précisément, les machines victimes sont sous Windows, deux sous Windows 10 et deux sous Windows Server 2019, avec à chaque fois deux niveaux de performances. Les configurations utilisées correspondent à ce que l'on peut retrouver en entreprise. Quant à l'échantillon de données, il fait 53 Go et il contient 98 561 fichiers.
Si l'on regarde le tableau ci-dessous, on peut voir que les différences de performances sont énormes entre certains ransomwares, à isopérimètre.
Même si certains ransomwares comme LockBit et Babuk sont bien plus rapides que d'autres, il faut tenir compte aussi de la dernière valeur : 42 minutes et 52 secondes. Cela correspond à la moyenne globale des 10 ransomwares. Quand les pirates à l'origine de LockBit affirmaient que c'était le plus rapide de tous les ransomwares, on comprend que cela n'était pas simplement une sorte "d'argument commercial" !
Même si la quantité de données chiffrées ici est relativement faible par rapport aux volumes que l'on peut rencontrer en entreprise, force est de constater que l'opération de chiffrement est rapide ! Cela veut dire qu'il faut être très réactif pour stopper l'hémorragie lorsque le chiffrement est en cours, mais cela signifie aussi qu'il faut être capable de détecter l'activité malveillante avant d'en arriver à la dernière étape : l'exécution du ransomware.
Ce schéma synthétique du CERT-NZ montre les différentes étapes d'une attaque par ransomware et les éventuelles opportunités de détecter l'activité malveillante.
L'article de Splunk est disponible à cette adresse si vous souhaitez découvrir tout le compte-rendu.
