랜섬웨어는, 감염된 머신 상의 파일이나 디렉토리에서 유효한 암호화 대상을 선택한 후 암호화하는 멀웨어로, 공격자는 복호화 키 대신 몸값 지불을 요구.
랜섬웨어는 빨리 발견 될수록 피해 규모가 작아지기 떄문에, 랜섬웨어를 사용하는 공격자의 전략으로는 감염된 머신의 데이터를 얼마나 빨리 암호화할지가 중요한데, 보안업체 Splunk가 10가지 랜섬웨어로 암호화 속도를 측정, 그 결과를 발표했다.
Splunk의 연구자는 「LockBit」 「Babuk」 「Avaddon」 「Ryuk」 「REvil」 「BlackMatter」 「Darkside」 「Conti」 「Maze」 「Mespinoza」의 10종류의 랜섬웨어를 각 10개 샘플씩을 준비해, 4종류의 표적용 프로파일에 대해서 암호화 테스트를 실시.
테스트에 사용된 머신의 OS는 Windows 10과 Windows Server 2019로, 하드웨어 구성은 실제로 기업에서 사용되는 것으로 상정하고 있다고 하고, 또 암호화의 대상으로서 합계 53GB의 9만 8561파일이 준비되었다고 한다.
암호화 테스트의 결과를 정리한 표가 아래. 100개의 랜섬웨어 샘플 테스트에서, 9만 8561 파일의 암호화에 걸린 시간의 평균값은 42분 52초였다.
가장 빨리 암호화할 수 있었던 것은, Lock Bit로 10샘플의 평균은 5분 50초였고, 100가지 샘플 전체에서 가장 암호화가 빨랐던 것도 Lock Bit로 Windows Server 2019 환경아래 테스트에서 불과 4분 9초 만에 암호화를 끝냈다고.
또한, 10개 샘플의 평균으로 가장 시간이 걸린 것은, Mespinoza였으며, 기록은 1시간 54분 54초였고, 또 샘플 전체로 가장 시간이 걸린 것은 Babuk의 샘플로, Windows 10 환경하의 테스트에서 3시간 35분 8초라고 하는 시간을 기록.
Splunk에 따르면, 랜섬웨어의 액티비티를 걸출하려면, 감염 후 평균 3일이 걸린다고 하고, 이번 실험 결과로 대부분의 랜섬웨어가 감염 후 1시간 이내에 암호화에 성공함에 따라 Splunk는 "랜섬웨어를 검출하여 암호화되기 전에 대처한다는 대책은, 비현실적"이라고 주장하며, 기업은 인시던트의 대응보다는 랜섬웨어 감염 방지를 중시해야 한다고 주장하고 있다.