Son araştırmalar, modern fidye yazılımı operasyonlarının, bir yönetim yapısı, operasyonun farklı yönlerinde uzmanlaşmış farklı ekipler ve gerektiğinde işi dış kaynak kullanımı ile giderek daha fazla işletmelere benzediğini ileri sürdü. Fidye yazılımı ekiplerinin birçoğunun, en son kurbanlarına ve başarı öykülerine dikkat çekmek için bir PR ekibi bile var. Splunk’ın son araştırması, bazı grupların pazarlamaya da ayrıldığını gösteriyor.
Bu senenin başlarında, LockBit grubu bir tablo yayınladı 30’dan fazla fidye yazılımı ailesi için şifreleme hızlarını listeledi ve LockBit 2.0’ın en hızlı olduğu gerçeğini vurguladı. Farklı fidye yazılımlarının kurban ortamlarındaki dosyaları şifrelemek için ne kadar sürdüğünü ölçmek, teknik açıdan ilginç bir alıştırmadır, ancak LockBit için bu, hizmet olarak fidye yazılımı teklifleri için potansiyel müşterileri çekmek için bir pazarlama taktiğiydi, diyor Shannon Davis, Splunk’ın SURGe araştırma ekibinde personel güvenlik stratejisti.
Bir fidye yazılımı kampanyası başlatmak için giriş engeli, bir hizmet olarak fidye yazılımının mevcudiyeti sayesinde çok daha düşüktür. LockBit ve diğer “servis sağlayıcılar”, aracı kullanmak isteyen kişileri cezbetmelidir. LockBit grubu, sitelerinde şifreleme hızlarını listeleyerek müşterilerine “Hızlıyız, bizi kullanın, daha iyiyiz” diyor Davis.
Davis, LockBit grubunun testlerini doğrulamaya çalıştı ve en hızlı olma iddiası. Davis, LockBit’in diğer fidye yazılımı ailelerinden daha hızlı olduğunu bulsa da, bazı önemli farklılıklar vardı. Örneğin, “en yeni ve en iyi” sürüm olan LockBit 2.0, dosyaları şifrelemede aslında orijinal LockBit 1.0’dan daha yavaştı. Ve Splunk, LockBit grubu onu 15 olarak derecelendirdiğinde PwndLocker’ın ikinci en hızlı olduğunu buldu.inci 30 üzerinden.
En hızlı on aile, çok iyi bilinen bazı isimleri içerir. Son zamanlarda manşetlerde yer alan Conti, Splunk’ın testlerinde dördüncü en hızlısı olurken, LockBit 19. sırada yer aldı.inci.
LockBit grubunun, belirli grupların analizde gerçekte yaptıklarından daha kötü görünmesini sağlamak için sayıları biraz değiştirip değiştirmediğini söylemenin bir yolu yoktu, ancak Davis, “kafa kafaya” rekabet ederken ekipler arasında rekabet olduğunu kabul etti. kurbanlar. Sonuçlardaki farkın nedeni büyük olasılıkla test metodolojisindeki farklılıklardiyor.
O Kadar Hızlı Değiliz
Sıralamaların kendileri ilginç (ve fidye yazılımı pazarlaması için iyi) olsa da, güvenlik ekipleri fidye yazılımlarının işini ne kadar hızlı gerçekleştirdiğini not etmelidir. LockBit 1.0, 2.33 alır dakika. Conti, 3.6 dakikada bir dakikadan biraz daha uzun. Seçkin güvenlik stratejisti ve Splunk’ın SURGe araştırma ekibinin lideri Ryan Kovar, “Bu, herhangi bir ağ savunucusunun kaldırabileceğinden daha hızlı” diyor.
En yavaşı olan Avos, 132 dakika ya da 2 saatten biraz fazla süre alırken, medyan yaklaşık 23 dakikadır. Bu hala birçok kuruluşun harekete geçebileceğinden çok daha hızlı. Kovar, kurumsal savunmanın şifreleme aşamasında “kazanamayacağını”, bu nedenle bir fidye yazılımı saldırısını engellemek için en iyi şanslarının, şifreleme süreci başlamadan önce izinsiz girişi tespit etmek olduğunu söylüyor.
Mandiant’ın m-trends raporları, fidye yazılımı ailelerinin şifreleme sürecini başlatmadan önce kurban ortamında bilgi toplamak için üç ila beş gün geçirme eğiliminde olduğunu belirtti. “Yenmeyeceğiz [them] üç dakika içinde. Daha fazla zamana ihtiyacımız var,” diyor Kovar. “Bu üç ila beş gün boyunca hareket etmemiz gerekiyor.”
Pazarlamaya geri dönelim — insanlar genellikle fidye yazılımlarının bir işletme gibi yönetildiğini hafife alıyor, diyor Kovar. Birisi şifreleme hızlarını analiz etti ve ölçtü, ancak bundan daha fazlası, birisi bir grafik oluşturmak ve araştırmasını tartışan bir gönderi oluşturmak için zaman harcadı – ve Kovar tüm bunların yapılmasının saatler sürdüğünü belirtiyor. Kovar, fidye yazılımı ekibinin “üst düzey pazarlamaya” sahip olması ve “katma değer” açısından düşünmesinin fidye yazılımının olgunluğunu gösterdiğini söylüyor.
Kovar, “APT28’in bir pazarlama elemanı yok” diyor.