針對企業(yè)的絕大多數(shù)勒索軟件攻擊是在工作時(shí)間之外的晚上或周末進(jìn)行的。

根據(jù)美國網(wǎng)絡(luò)安全公司 FireEye 發(fā)布的報(bào)告，所有勒索軟件感染中的 76% 發(fā)生在工作時(shí)間以外，其中 49% 發(fā)生在工作日的夜間，而 27% 發(fā)生在周末。

FireEye 表示，這些數(shù)字是根據(jù) 2017 年至 2019 年數(shù)十次勒索軟件事件響應(yīng)調(diào)查得出的。

攻擊者之所以選擇在夜間或周末觸發(fā)勒索軟件加密過程，是因?yàn)榇蠖鄶?shù)公司沒有 IT 人員輪班工作。這種情況下即便勒索軟件攻擊觸發(fā)了公司內(nèi)部的安全警報(bào)，也不會有人立即做出反應(yīng)并關(guān)閉網(wǎng)絡(luò)。

FireEye 表示，這些夜間/周末進(jìn)行的惡意勒索軟件攻擊通常是長期網(wǎng)絡(luò)破壞和入侵的結(jié)果。

這家網(wǎng)絡(luò)安全公司說，勒索軟件團(tuán)伙攻擊了一家公司的網(wǎng)絡(luò)，然后將他們的時(shí)間橫向移動(dòng)到盡可能多的工作站，然后在所有系統(tǒng)上手動(dòng)安裝勒索軟件并引發(fā)感染。

據(jù) FireEye 稱，從最初的威脅到實(shí)際的勒索軟件攻擊的時(shí)間(稱為“駐留時(shí)間”)平均為三天。

在所有這些情況下，勒索軟件都是在攻擊者的命令下觸發(fā)的，而不是在網(wǎng)絡(luò)被感染后自動(dòng)觸發(fā)——這是大多數(shù)勒索軟件的舊操作模式。如今，大多數(shù)勒索軟件團(tuán)伙完全控制了他們的勒索軟件，他們非常謹(jǐn)慎地決定何時(shí)才是最合適的時(shí)間來鎖定網(wǎng)絡(luò)。

微軟稱這類事件為“人為勒索軟件攻擊”。在上周發(fā)布的一份報(bào)告中，這家操作系統(tǒng)制造商提供了保護(hù)網(wǎng)絡(luò)安全和建立檢測規(guī)則的提示，以便在勒索軟件團(tuán)伙“停留時(shí)間”內(nèi)，以及在他們觸發(fā)最終有效載荷和鎖定公司之前，發(fā)現(xiàn)他們。

FireEye 說，自 2017 年以來，人為勒索軟件攻擊上升了 860%，事件現(xiàn)在影響到所有部門和所有地理位置，而不僅僅是北美公司。

在 FireEye 調(diào)查的案例中，最常見的感染媒介是：

• 互聯(lián)網(wǎng)上針對具有 RDP(遠(yuǎn)程桌面協(xié)議)端口的工作站的暴力攻擊針
• 對公司員工的魚叉式釣魚，并利用一個(gè)受感染的主機(jī)傳播給其他人
• 私自下載(員工訪問受感染網(wǎng)站并下載受惡意軟件感染的文件)

就像微軟上周在其報(bào)告中一樣，F(xiàn)ireEye 現(xiàn)在敦促公司投資部署檢測規(guī)則，以便在感染前的“駐留時(shí)間”內(nèi)發(fā)現(xiàn)攻擊者。

FireEye 說：“如果網(wǎng)絡(luò)防御者能夠迅速發(fā)現(xiàn)并補(bǔ)救最初的威脅，則有可能避免重大損失和勒索軟件感染的成本。”