So schnell verschlüsselt ein Ransomware-Angriff alle Ihre Dateien

In nur fünf Minuten verschlüsselt eine der am weitesten verbreiteten Formen von Ransomware 100.000 Dateien und zeigt damit, wie schnell Ransomware zu einer großen Cybersecurity-Krise für das Opfer eines Angriffs werden kann.

Die Forscher von Splunk haben getestet, wie schnell zehn wichtige Ransomware-Stämme Netzwerke verschlüsseln – und einige waren viel effektiver als andere, wenn es darum ging, die Aufgabe schnell zu erledigen, was es den Angreifern erschwert, sie zu stoppen.

Die schnellste Form von Ransomware ist LockBit, die im Durchschnitt nur 5 Minuten und 50 Sekunden brauchte, um 100.000 Dateien zu verschlüsseln. In einem der Tests benötigte LockBit nur 4 Minuten und 9 Sekunden, um Dateien mit einer Größe von 53,83 GB auf verschiedenen Windows-Betriebssystemen und Hardware-Spezifikationen zu verschlüsseln.

LockBit war in den ersten Monaten des Jahres 2022 eine der am weitesten verbreiteten Formen von Ransomware, und die Cyberkriminellen, die dahinter stehen, haben sich damit gebrüstet, dass es die schnellste Form von Ransomware ist. Die Analyse von Forschern scheint zu zeigen, dass die Prahlerei der Cyberkriminellen leider zutrifft.

Ransomware ist eines der größten Sicherheitsprobleme, mit denen Unternehmen heute konfrontiert sind. Hacker dringen in Netzwerke ein, verschlüsseln Dateien und Server und fordern Lösegeld für den Entschlüsselungscode. Diese Lösegeldforderungen können in die Millionen gehen, und viele enthalten eine zusätzliche Erpressungsstufe mit der Drohung, die gestohlenen Daten zu veröffentlichen, wenn das Lösegeld nicht gezahlt wird.

Bei den getesteten Ransomware-Varianten betrug die durchschnittliche Zeit für die Verschlüsselung der Beispieldateien 42 Minuten und 52 Sekunden.

Während LockBit die Dateien am schnellsten verschlüsselte, lag Babuk Ransomware mit einer durchschnittlichen Verschlüsselungszeit von 6 Minuten und 34 Sekunden nicht weit dahinter.

Die Ransomware Avaddon benötigte im Durchschnitt 13 Minuten und 15 Sekunden, gefolgt von Ryuk mit 14 Minuten und 30 Sekunden und REvil – eine der produktivsten Ransomware-Gruppen des letzten Jahres – verschlüsselte die Daten im Durchschnitt in 24 Minuten und 16 Sekunden.

Die Ransomware BlackMatter benötigte 43 Minuten und 3 Sekunden, um Dateien zu verschlüsseln, Darkside – bekannt für den Colonial Pipeline Ransomware-Angriff – benötigte 44 Minuten und 52 Sekunden und Conti – bekannt für eine Reihe von öffentlichkeitswirksamen Vorfällen – benötigte eine durchschnittliche Zeit von 59 Minuten und 34 Sekunden, um die 54 GB Testdateien zu verschlüsseln. Die Ransomware Maze und PYSA verschlüsselt Dateien am langsamsten und benötigt dafür jeweils 1 Stunde und 54 Minuten.

Die langsamste Verschlüsselung dauert zwar fast zwei Stunden länger als die schnellste, aber das ist immer noch keine signifikante Zeitspanne – und sie könnte leicht unbemerkt bleiben, bis es zu spät ist, wenn die Cyberkriminellen den Ransomware-Angriff außerhalb der Arbeitszeiten, z. B. über Nacht oder am Wochenende, ausgelöst haben.

In jedem Fall ist es schwierig, einen Ransomware-Angriff zu verhindern, wenn die Verschlüsselung bereits begonnen hat – das bedeutet, dass die beste Form der Verteidigung gegen Ransomware darin besteht, das Netzwerk von vornherein dagegen zu sichern.

Zwei der häufigsten Techniken, mit denen Cyberkriminelle Netzwerke als Einfallstor für Ransomware-Angriffe kompromittieren, sind die Ausnutzung schwacher oder kompromittierter Passwörter für Remote-Desktop-Protokolle und die Ausnutzung ungepatchter Sicherheitslücken in Software.

Es ist daher von entscheidender Bedeutung, dass die Benutzer dazu angehalten werden, sichere Passwörter für ihre Konten zu verwenden, um eine Kompromittierung zu verhindern – und dies sollte mit einer Multi-Faktor-Authentifizierung als zusätzliche Barriere gegen Angriffe einhergehen.

Informationssicherheits- und IT-Abteilungen sollten sich darüber im Klaren sein, was und wer sich in ihrem Netzwerk befindet, damit sie auftauchende Schwachstellen flicken und potenziell verdächtige Aktivitäten erkennen können, bevor ein umfassender Angriff gestartet wird.