Face à une attaque de ransomware, de combien de temps dispose un administrateur système pour éventuellement sauver les données in extremis ? Réponse : « un certain temps », mais pas beaucoup.
Les ingénieurs de Splunk ont comparé les vitesses de chiffrement de données d’une dizaine de familles de ransomwares. Ils les ont testés sur différents systèmes, en utilisant à chaque fois le même corpus de 98 561 fichiers, totalisant 53 Go.
En moyenne, ces logiciels malveillants ont mis 43 minutes pour tout verrouiller, ce qui correspond à une vitesse de 2 346 fichiers par minute. Clairement, c’est trop rapide pour qu’une personne puisse intervenir en temps réel, d’autant plus qu’il faut généralement plusieurs jours avant qu’une infection soit détectée. Les administrateurs système arriveront donc après la bataille.
Le plus rapide de tous ces ransomwares est Lockbit, qui n’a besoin que d’un peu moins de six minutes pour tout chiffrer. Ce qui représente une vitesse d’environ 17 000 fichiers par minute.
Lockbit est suivi de près par Babuk, qui tourne autour de 15 000 fichiers par minute. Ils devancent Avaddon et Ryuk, qui nécessitent déjà deux fois plus de temps pour faire le même travail. Les plus lents sont Maze et Mespinoza qui n’atteignent qu’une vitesse d’environ 860 fichiers par minute. Pour verrouiller l’ordinateur de test, il leur fallait presque deux heures.
Ces différences de performance s’expliquent par l’algorithme de chiffrement utilisé. Ainsi, Lockbit ne chiffre que 4 kilobits d’un fichier, ce qui est suffisant pour le rendre inutilisable. D’autres, à l’inverse, chiffrent la totalité du contenu des fichiers. Les créateurs de Lockbit peuvent être fiers, pour le pire, ils sont les meilleurs.
Source : Splunk
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.