Os ataques ransomware já são considerados uma das principais ameaças de cibersegurança atualmente. Além dos altos prejuízos que esses incidentes podem causar, outro fator que os torna preocupantes é a rapidez com que eles ocorrem.
De acordo com uma pesquisa realizada pela Splunk, alguns tipos de ransomware são capazes de criptografar 100 mil arquivos em apenas cinco minutos. Isso significa que as medidas de cibersegurança para impedir os invasores podem não ser eficazes, considerando o tempo extremamente limitado para intervir.
Durante o estudo, foram analisados os 10 principais tipos de ransomware e a velocidade com que eles conseguem comprometer redes. O LockBit foi o que mais se destacou, levando uma média de cinco minutos e 50 segundos para criptografar 100 mil arquivos.
Em um dos testes, o tempo recorde foi de quatro minutos e nove segundos para criptografar arquivos de 53,83 GB em diferentes sistemas operacionais Windows e especificações de hardware distintas.
Ranking de velocidade
Contabilizando todos os tipos de ransomware testados, o tempo médio para criptografar as amostras de arquivos foi de 42 minutos e 52 segundos. Com um resultado próximo ao do LockBit, o ransomware Babuk ocupou a segunda posição no ranking, com uma média de seis minutos e 34 segundos para criptografar os dados.
O ransomware Avaddon apresentou uma média de 13 minutos e 15 segundos, seguido pelo Ryuk (14 minutos e 30 segundos) e pelo REvil (24 minutos e 16 segundos). Este último representou uma das maiores ameaças de cibersegurança no ano passado.
No caso do BlackMatter, foram necessários 43 minutos e três segundos para criptografar os arquivos, enquanto o Darkside, que ficou conhecido pelo incidente do Colonial Pipeline, levou 44 minutos e 52 segundos.
Os ransomware Maze e PYSA foram os que levaram mais tempo, com cada um deles apresentando uma média de 1 hora e 54 minutos. Isso mostra que mesmo os ataques mais lentos necessitam de menos de duas horas para comprometer arquivos.
Assim, os hackers podem atuar de forma silenciosa, passando despercebidos pelas equipes de cibersegurança, principalmente quando o incidente ocorre fora do expediente de trabalho das empresas, como de madrugada ou aos fins de semana.
Medidas de prevenção
Apesar da importância de manter uma equipe capaz de intervir durante qualquer ameaça de cibersegurança, é difícil impedir um ataque ransomware uma vez que o processo de criptografia já foi iniciado.
A melhor forma de se defender contra incidentes desse tipo, portanto, é implementar medidas de prevenção para proteger a rede, evitando que os ataques possam ser iniciados.
As duas técnicas mais utilizadas pelos cibercriminosos para comprometer redes e, assim, executar um ataque ransomware, são explorar senhas fracas ou vazadas de protocolos de desktop remoto e vulnerabilidades em softwares que não foram corrigidas.
Com base nisso, a recomendação é que os usuários utilizem senhas fortes para evitar que elas sejam comprometidas, além de habilitarem a autenticação multifatorial para adicionar uma camada extra de proteção.
Já os departamentos de segurança da informação e de TI devem permanecer alertas para corrigir quaisquer vulnerabilidades, identificando atividades suspeitas antes que um ataque possa ser iniciado.