Ransomware-Verschlüsselung geht schnell – oft sogar blitzschnell!

Die amerikanische Softwarefirma Splunk hat eine Ransomware-Studie veröffentlicht, in der untersucht wurde, wie schnell Ransomware wie Lockbit, REvil und Blackmatter, 100’000 Dateien verschlüsseln kann. Das Resultat zeigt: Wenn ein Ransomware-Angriff in einem Unternehmen im Gang ist, mag es bereits unmöglich sein, die Ausbreitung zu stoppen. 

Die schnellste Ransomware brauchte nur 4 Minuten für 100'000 files. Quelle Splunk

Die Untersuchung ergab, dass eine durchschnittliche Ransomware-Variante fast 100’000 Dateien mit einer Gesamtgrösse von 53,93 GB in zweiundvierzig Minuten und zweiundfünfzig Sekunden verschlüsseln kann. Eine erfolgreiche Ransomware-Infektion kann dazu führen, dass Unternehmen keinen Zugriff mehr auf kritische IP, Mitarbeiterinformationen und Kundendaten haben.  Das Splunk-Team hat die Verschlüsselungsgeschwindigkeit in einer kontrollierten Umgebung aufgrund wissenschaftlicher Grundlagen gemessen. Dabei wurden mit 100 Ransomware-Samples aus 10 populären Varianten fast 100’000 Dateien mit einer Gesamtgrösse von 53 GB auf verschiedenen Windows-Betriebssystemen und Hardware-Spezifikationen verschlüsselt.

 In einem Blogbeitrag erklärt Splunk, dass die Studie einen Bereich untersuche, der bisher nur von Ransomware-Betreibern erforscht worden sei:

«Viele Sicherheitsteams konzentrieren sich auf die Eindämmung von Ransomware und die Reaktion darauf, doch die Verschlüsselungsgeschwindigkeiten, die wir in unserem Bericht entdeckt haben, übersteigen die Möglichkeiten der meisten Unternehmen. Wenn ein Unternehmen von einem Ransomware-Angriff betroffen ist, kann es zu spät sein, um die Ausbreitung zu stoppen, so das Ergebnis der Studie.»

 Insgesamt ergab der Bericht, dass die Verschlüsselungsgeschwindigkeit der einzelnen Ransomware-Samples variierte - von vier Minuten bis zu dreieinhalb Stunden. Weitere Details:

•  LockBit ist schneller als die anderen: LockBit, ein bemerkenswerter Ransomware-as-a-Service (RaaS), war die schnellste Variante, die auf jedem System verschlüsselte, mit einer Geschwindigkeit, die 86 % über dem Mittelwert lag. Das schnellste LockBit-Beispiel verschlüsselte knapp 25.000 Dateien pro Minute.
• Identische Ransomware-Stämme können sich auf verschiedenen Systemen unterscheiden. Verbesserte Hardwarefunktionen ermöglichten den meisten Ransomware-Samples schnellere Verschlüsselungsgeschwindigkeiten, aber einige Samples und Varianten schienen nicht in der Lage zu sein, die Vorteile von Multithreading-Prozessoren zu nutzen. 
• Zusätzlicher Arbeitsspeicher schien keine signifikante Auswirkung auf irgendeine Variante zu haben. Höhere Festplattengeschwindigkeiten könnten eine Rolle bei der schnelleren Ausführung spielen, aber höchstwahrscheinlich in Kombination mit einer Variante, die zusätzliche CPU-Kerne nutzen kann.         

Letztendlich zeige diese Untersuchung, dass Unternehmen sich von der Reaktion und Schadensbegrenzung abwenden und sich auf die Verhinderung von Ransomware-Infektionen konzentrieren müssten, schreiben die Autoren. Sie empfehlen besseres Patching, Bestandsaufnahme von Anlagen, MFA und die Suche nach Ransomware-Akteuren im Netzwerk, bevor diese ihre Ransomware-Binärdateien verteilen. Das White Paper (in Englisch) kann hier heruntergeladen werden.