Utpressingsvirus har fått mye oppmerksomhet i kraft av å være blant de største cybertruslene vi står overfor. Dette har ført til intens forskning på programvaren, og nå foreligger det funn som belyser et aspekt vi ikke hører så ofte om – nemlig tiden det tar å kryptere filene.
Det amerikanske programvareselskapet Splunk gjennomførte nylig en studie av de ti mest utbredte utpressingsprogramvarene for å komme til bunns i hvor lang tid det tok å utføre krypteringen. ZDNet har også skrevet om saken.
Arbeidet gikk ut på å bruke programmene til å kryptere 100.000 filer som til sammen utgjorde 53,94 gigabyte med data.
Store variasjoner
Et av hovedfunnene var at det varierer kraftig etter hvilken programvare man er infisert av – fra noen få minutter til flere timer. Det var også forskjeller mellom de ulike prøvene av den samme programvaren, bemerker selskapet.
Mediantallet på tvers av alle programmene lå på 42 minutter og 52 sekunder, ifølge Splunk.
Det raskeste utpressingsviruset var Lockbit. Mediantallet for de ulike prøvene av denne programvaren lå på 5 minutter og 50 sekunder, og den raskeste prøven lå på 4 minutter og 9 sekunder.
Lockbit er kjent som en såkalt «utpressingsvirus-som-tjeneste»-programvare og infiserte blant annet den den danske vindturbingiganten Vestas tidligere i år.
På andreplass ligger Babuk, et relativt nytt utpressingsvirus som ble oppdaget i fjor. Den ble omtalt av blant annet antivirusselskapet McAfee, som opplyser at programvaren har rammet flere store selskaper, blant annet i Europa.
Mediantallet for Babuk var på 6 minutter og 34 sekunder, men denne programvaren hadde også den aller tregeste prøven av samtlige av virusene, med en krypteringstid på hele tre og en halv time.
For sent å beskytte seg etter infeksjon
Den mye omtalte Revil-programvaren, som angrep 800 Coop-butikker i Sverige og kjøttgiganten JBS – som endte opp med å betale 11 millioner i løsepenger – hadde en median-krypteringstid på 24 minutter og 16 sekunder.
En annen svært kostbar utpressingsvare, Darkside, som kostet det amerikanske rørledningsselskapet Colonial Pipeline 36 millioner kroner, hadde en krypteringstid på 44 minutter og 52 sekunder.
Ifølge Splunk kan man trekke den konklusjonen at utpressingsvirus krypterer filene for raskt til at bedrifter kan iverksette effektive mottiltak etter at infeksjonen allerede har funnet sted – noe som egentlig bare er en bekreftelse på den allerede gjeldende hypotesen.
– Til syvende og sist demonstrerer denne forskningen behovet for at bedrifter beveger seg bort fra å fokusere på respons og skadebegrensning og heller konsentrere seg om å forhindre infeksjon av utpressingsvirus, skriver selskapet.
Viktige tiltak for å forhindre infeksjon kan være bruk av flerfaktorautentisering og nettverkssegmentering, og siden mange infeksjoner starter med ondsinnede e-postvedlegg, er det selvsagt viktig aldri å åpne mistenkelige vedlegg eller lenker i e-poster.
Flere detaljer kan man finne i hele rapporten hos Splunk.
Fant sårbarheter i farlig utpressingsvirus – dekrypterte filene
