Depuis que nous avons lancé SURGe l’année dernière, notre équipe d’experts en cybersécurité stratégique s’est attelée à aider les équipes de sécurité à faire face à un éventail de cyberattaques et d’incidents de sécurité. Aujourd’hui, nous publions une nouvelle recherche sur les ransomwares, qui a analysé la rapidité avec laquelle dix souches majeures de ransomwares, dont Lockbit, REvil et Blackmatter, pouvaient chiffrer 100 000 fichiers.
La recherche a révélé que la variante médiane des ransomwares peut chiffrer près de 100 000 fichiers totalisant 53,93 Go en 42 minutes et 52 secondes. Une infection par ransomware réussie peut priver les organisations d’un accès aux IP critiques, aux informations sur les employés et aux données clients.
L’objectif de SURGe est de fournir aux acteurs quotidiens de la défense des connaissances exploitables, et nos dernières recherches se penchent sur un domaine d’étude que seuls les opérateurs de ransomware semblent avoir analysé. De nombreuses équipes de sécurité se concentrent sur l’atténuation et la réponse pour lutter contre les ransomwares, mais les vitesses de chiffrement que nous avons observées dans notre rapport dépassent les capacités de la plupart des organisations. Sur la base de cette recherche, on peut dire sans trop s’avancer qu’à l’instant où une entreprise est victime d’une attaque de ransomware, il peut déjà être trop tard pour l’empêcher de se propager.
Dans l’ensemble, le rapport a révélé que l’impact des ransomwares peut varier selon les souches et les ressources. Les principales conclusions de la recherche sont les suivantes :
En fin de compte, cette recherche démontre la nécessité pour les organisations de se concentrer sur la prévention des infections par ransomware plutôt que sur la réaction et l’atténuation. Les mesures et les stratégies concrètes que les organisations peuvent mettre en œuvre pour prévenir les infections sont nombreuses : correctifs de meilleure qualité, inventaire des actifs, MFA et recherche d’acteurs de ransomwares sur le réseau avant le déploiement des binaires. En outre, le travail de SURGe ne se résume pas seulement à créer les données, mais également à les publier sur les défenseurs réseau bots.splunk.com pour qu’elles soient analysées et examinées. Nous encourageons les équipes bleues et les chercheurs à examiner nos travaux par eux-mêmes.
Il s’agit du premier livre blanc d’une série qui dévoilera les résultats de recherche utiles aux équipes de sécurité du monde entier. N’hésitez pas à vous procurer un exemplaire du livre blanc Analyse empiriquement comparative des binaires de ransomware dès aujourd’hui. Consultez également le blog de Shannon Davis pour en savoir plus sur la recherche.
Pour cette recherche, SURGe a créé une version modifiée de l’environnement de laboratoire Splunk Attack Range pour y exécuter dix échantillons de chacune des dix variantes de ransomware contre quatre hôtes avec des spécifications matérielles moyennes et élevées : deux sous Windows 10 et les deux autres sous Server 2019. SURGe a activé la journalisation Windows sur chaque hôte pour collecter, synthétiser et analyser les données dans Splunk. Les chercheurs ont ainsi pu mesurer la vitesse à laquelle les variantes du ransomware ont chiffré près de 100 000 fichiers et de quelle façon le ransomware utilisait les ressources système comme le processeur, la mémoire et le disque.
Créé en octobre 2021, SURGe est la branche de recherche stratégique sur la cybersécurité de Splunk dédiée à la recherche, à la réponse et à l’éducation sur les cybermenaces qui affectent le monde. En tant que conseiller de confiance, SURGe fournit aux organisations des conseils techniques lors de cyberattaques de grande envergure et urgentes, sous la forme de guides de réponse et d’analyses approfondies publiées dans des documents de recherche, des documents de conférence et des webinaires. Les entreprises peuvent compter sur SURGe pour recevoir des éléments de contexte utiles et des recommandations pertinentes qui les aideront à gérer les incidents de sécurité mondiaux avec confiance et intelligence.
*Cet article est une traduction de celui initialement publié sur le blog Splunk anglais.
La plateforme Splunk élimine les obstacles qui séparent les données de l'action, pour donner aux équipes d'observabilité, d'IT et de sécurité les moyens de préserver la sécurité, la résilience et le pouvoir d'innovation de leur organisation.
Fondée en 2003, Splunk est une entreprise internationale. Ses plus de 7 500 employés, les Splunkers, ont déjà obtenu plus de 1 020 brevets à ce jour, et ses solutions sont disponibles dans 21 régions du monde. Ouverte et extensible, la plateforme de données Splunk prend en charge les données de tous les environnements pour donner à toutes les équipes d'une entreprise une visibilité complète et contextualisée sur l'ensemble des interactions et des processus métier. Splunk, une base solide pour vos données.