绝大多数针对企业的勒索软件攻击发生在夜间或周末非营业时间。根据美国网络安全公司FireEye发布的一份报告,76%的勒索软件感染发生在工作时间以外,其中49%发生在工作日晚上,27%发生在周末。FireEye表示,这些数字是基于2017年至2019年的数十起勒索软件事件响应调查得出的。攻击者选择在夜间或周末触发勒索软件加密过程,因为大多数公司没有IT人员轮班工作。在这种情况下,即使勒索软件攻击触发了公司内部的安全警报,也没有人会立即做出反应并关闭网络。据FireEye称,这些每晚/周末的恶意勒索软件攻击通常是长期网络破坏和入侵的结果。这家网络安全公司表示,勒索软件团伙攻击了一家公司的网络,然后将他们的时间横向转移到尽可能多的工作站,然后在所有系统上手动安装勒索软件并触发感染。根据FireEye的说法,从最初的威胁到实际的勒索软件攻击的时间(称为“停留时间”)平均为三天。在所有这些案例中,勒索软件都是应攻击者的要求触发的,而不是在网络被感染后自动触发——这是大多数勒索软件的旧操作模式。如今,大多数勒索软件团伙都可以完全控制他们的勒索软件,他们会非常谨慎地决定何时是锁定网络的最佳时机。微软称此类事件为“人类勒索软件攻击”。在上周发布的一份报告中,这家操作系统制造商提供了在勒索软件团伙“驻留时间”期间以及在他们触发最终有效载荷并锁定公司之前发现它们的网络安全和勒索软件团伙建立检测规则的技巧。FireEye表示,自2017年以来,人为勒索软件攻击增加了860%,现在的事件影响到所有行业和所有地区,而不仅仅是北美公司。在FireEye调查的案例中,最常见的感染媒介是:在Internet上对具有RDP(远程桌面协议)端口的工作站进行暴力攻击针对公司员工的鱼叉式网络钓鱼并使用一台受感染的主机传播给其他人盗版下载(员工访问受感染的网站和下载受恶意软件感染的文件)就像微软上周在其报告中所做的那样,FireEye现在敦促公司投资部署检测规则,以在感染之前的“停留时间”发现攻击。FireEye表示:“如果网络防御者能够快速检测并修复初始威胁,则可以避免重大损害和勒索软件感染的成本。”
