大多數勒索軟件攻擊發生在夜間或周末

針對企業的絕大多數勒索軟件攻擊是在工作時間之外的晚上或周末進行的。

根據美國網絡安全公司 FireEye 發布的報告，所有勒索軟件感染中的 76% 發生在工作時間以外，其中 49% 發生在工作日的夜間，而 27% 發生在周末。

FireEye 表示，這些數字是根據 2017 年至 2019 年數十次勒索軟件事件響應調查得出的。

攻擊者之所以選擇在夜間或周末觸發勒索軟件加密過程，是因為大多數公司沒有 IT 人員輪班工作。這種情況下即便勒索軟件攻擊觸發了公司內部的安全警報，也不會有人立即做出反應并關閉網絡。

FireEye 表示，這些夜間/周末進行的惡意勒索軟件攻擊通常是長期網絡破壞和入侵的結果。

這家網絡安全公司說，勒索軟件團伙攻擊了一家公司的網絡，然后將他們的時間橫向移動到盡可能多的工作站，然后在所有系統上手動安裝勒索軟件并引發感染。

據 FireEye 稱，從最初的威脅到實際的勒索軟件攻擊的時間(稱為“駐留時間”)平均為三天。

在所有這些情況下，勒索軟件都是在攻擊者的命令下觸發的，而不是在網絡被感染后自動觸發——這是大多數勒索軟件的舊操作模式。如今，大多數勒索軟件團伙完全控制了他們的勒索軟件，他們非常謹慎地決定何時才是最合適的時間來鎖定網絡。

微軟稱這類事件為“人為勒索軟件攻擊”。在上周發布的一份報告中，這家操作系統制造商提供了保護網絡安全和建立檢測規則的提示，以便在勒索軟件團伙“停留時間”內，以及在他們觸發最終有效載荷和鎖定公司之前，發現他們。

FireEye 說，自 2017 年以來，人為勒索軟件攻擊上升了 860%，事件現在影響到所有部門和所有地理位置，而不僅僅是北美公司。

在 FireEye 調查的案例中，最常見的感染媒介是：

• 互聯網上針對具有 RDP(遠程桌面協議)端口的工作站的暴力攻擊針
• 對公司員工的魚叉式釣魚，并利用一個受感染的主機傳播給其他人
• 私自下載(員工訪問受感染網站并下載受惡意軟件感染的文件)

就像微軟上周在其報告中一樣，FireEye 現在敦促公司投資部署檢測規則，以便在感染前的“駐留時間”內發現攻擊者。

FireEye 說：“如果網絡防御者能夠迅速發現并補救最初的威脅，則有可能避免重大損失和勒索軟件感染的成本。”