Seit dem Launch von SURGe im letzten Jahr hat unser Team aus strategischen Cybersicherheitsexperten vielen unterschiedlichen Security-Teams bei der Bewältigung verschiedener Cyberangriffe und Security-Incidents geholfen. Jetzt haben wir eine neue Ransomware Studie, veröffentlicht, bei der wir untersucht haben, wie schnell zehn der wichtigsten Ransomware-Varianten wie Lockbit, REvil und Blackmatter 100.000 Dateien verschlüsseln können.
Die Studie zeigte, dass eine Ransomware-Variante im Median fast 100.000 Dateien mit einer Gesamtgröße von 53,93 GB in 42 Minuten und 52 Sekunden verschlüsseln kann. Eine erfolgreiche Ransomware-Infektion kann den Zugriff eines Unternehmens auf wichtiges geistiges Eigentum, Mitarbeiterinformationen und Kundendaten blockieren.
SURGe möchte mit seiner Arbeit Verteidigungsteams in Unternehmen mit praktischem Wissen für ihren Alltag unterstützen. Unsere neueste Studie gilt einem Bereich, dem bisher scheinbar nur Ransomware-Entwickler Aufmerksamkeit gewidmet haben. Viele Cybersecurity-Teams konzentrieren sich bei Ransomware-Infektionen auf deren Eindämmung und Abwehr. Allerdings übersteigen die Verschlüsselungsgeschwindigkeiten, die wir bei unserer Studie festgestellt haben, die Möglichkeiten der meisten Unternehmen. Angesichts unserer Ergebnisse kann man mit ziemlicher Sicherheit sagen, dass wenn ein Unternehmen Opfer eines Ransomware-Angriffs wurde, es wahrscheinlich bereits zu spät ist, die Ausbreitung noch zu stoppen.
Insgesamt ergab die Studie, dass die Auswirkungen von Ransomware je nach Variante und Ressourcen variieren. Hier einige der wichtigsten Ergebnisse der Studie:
Im Endeffekt zeigt die Studie, dass sich Unternehmen weniger auf die Reaktion und Schadensbegrenzung, sondern vielmehr auf das Vorbeugen von Ransomware-Infektionen konzentrieren sollten. Zu den praktischen Schritten und Strategien, mit denen Unternehmen Infektionen verhindern können, gehören besseres Patching, ein Asset Inventory, Multi-Faktor-Authentifizierung sowie die Suche nach Ransomware-Akteuren im Netzwerk, bevor diese ihre Ransomware-Binärdateien verteilen. Übrigens hat SURGe die Daten nicht nur erstellt, sondern wird sie auch unter bots.splunk.com veröffentlichen, damit "Network Defender" sie selbst analysieren und prüfen können. Blue Teams und Bedrohungsforscher sind herzlich eingeladen, sich selbst ein Bild von unserer Arbeit zu machen.
Dies ist das erste einer Reihe von Whitepaper in diesem Jahr, in denen wir Forschungsergebnisse vorstellen, die für Security-Teams in aller Welt relevant sind – holt euch am besten noch heute eine Kopie der Studie An Empirically Comparative Analysis of Ransomware Binaries (aktuell nur auf Englisch verfügbar). Lest am besten auch den Blog von Shannon Davis – dort findet ihr weitere Informationen zu unserer Untersuchung.
Für diese Studie richtete SURGe eine modifizierte Version des Splunk Attack Range Environments ein, um Varianten von jeder der zehn Ransomware-Familien auf vier Hosts mit Hardware der Mittel- und Oberklasse auszuführen. Auf zwei der Hosts wurde das Betriebssystem Windows 10, auf den beiden anderen Windows Server 2019 ausgeführt. SURGe aktivierte auf jedem Host das Windows-Logging, um die Daten zu erfassen, zusammenzuführen und in Splunk zu analysieren. So konnten die Forscher messen, wie schnell die Ransomware-Varianten fast 100.000 Dateien verschlüsselten und wie die Ransomware dabei Systemressourcen wie Prozessor, Arbeitsspeicher und Festplatte nutzte.
SURGe wurde im Oktober 2021 ins Leben gerufen und ist Splunks strategischer Cyber-Security-Forschungsbereich. Aufgabe des Teams ist es, Cyberbedrohungen mit weltweiten Auswirkungen zu untersuchen, darauf zu reagieren und darüber zu informieren. Als vertrauenswürdiger Ratgeber bietet SURGe technische Hilfestellung bei bekannten, zeitkritischen Cyberangriffen mit Response-Leitfäden und tiefgreifenden Analysen in Form von Studien, Vorträgen und Webinaren. Unternehmen können sich darauf verlassen, dass SURGe zeitnah passenden Kontext und Empfehlungen bereitstellt, damit sie globalen Security-Incidents selbstbewusst und informiert entgegen treten können.
Die Splunk-Plattform beseitigt die Hürden zwischen Daten und Handlungen, damit Observability-, IT- und Security-Teams in ihren Unternehmen für Sicherheit, Resilienz und Innovation sorgen können.
Splunk wurde 2003 gegründet und ist ein globales Unternehmen – mit mehr als 7.500 Mitarbeitern, derzeit über 1.020 Patenten und einer Verfügbarkeit in 21 Regionen rund um den Globus. Mit seiner offenen, erweiterbaren Datenplattform, die die gemeinsame Nutzung von Daten in beliebigen Umgebungen unterstützt, bietet Splunk allen Teams im Unternehmen für jede Interaktion und jeden Geschäftsprozess End-to-End-Transparenz mit Kontext. Bauen auch Sie eine starke Datenbasis auf – mit Splunk.