18/03/20
Как сообщают исследователи ИБ-компании FireEye, 76% от всех вымогательских атак на предприятия происходят вне рабочего времени. 49% атак происходят в ночное время в течение рабочей недели, еще 27% - на выходных. Такие данные были получены исследователями в результате расследований десятков инцидентов с участием вымогательского ПО в 2017-2019 годах.
Причина, по которой вымогатели атакуют в нерабочее время, очень простая – сотрудников IT-отделов, способных отразить атаку, нет на месте, а если и они есть, то очень непродолжительное время. По словам специалистов FireEye, подобным ночным атакам обычно предшествует продолжительная компрометация корпоративной сети. Киберпреступники взламывают сеть, проникают как можно в большее число систем, а затем вручную устанавливают и запускают вымогательское ПО. Промежуток между взломом сети и заражением ее вымогательским ПО (так называемое «время ожидания») в среднем составляет три дня.
Во всех исследованных FireEye случаях вымогательское ПО запускалось вручную самими злоумышленниками, а не автоматически сразу после заражения. Автоматический запуск программы после заражения – это устаревший способ, от которого злоумышленники уже отошли. Сейчас каждый образец вредоносного ПО находится под жестким контролем злоумышленников, которые тщательно выбирают момент для его запуска.
Microsoft называет такие инциденты «управляемые человеком атаки вредоносного ПО». Как сообщают специалисты FireEye, с 2017 года число подобных управляемых атак возросло на 860%. Microsoft и FireEye призывают компании вкладывать средства в развертывание правил, позволяющих выявлять инфекции во «время ожидания».
