Ransomvérové útoky sa dejú najčastejšie v noci a počas víkendov

Doba trvania ransomvérových útokov sa postupne skracuje skracuje. Vyplýva to zo štúdie Active Adversary Report for Tech Leaders 2023 spoločnosti Sophos.  V prípadoch analyzovaných službou Sophos IR išlo o najčastejší typ útoku, ktorý predstavoval 69 % vyšetrovaných prípadov. Medián doby trvania týchto útokov bol iba päť dní. V 81 % prípadov ransomvérových útokov bolo šifrovanie spustené mimo tradičného pracovného času a z tých, ktoré boli vykonané v pracovnej dobe, sa iba päť útokov odohralo vo všedný deň.

Len pre zaujímavosť – Analýzou prípadov riešených službou Sophos Incident Response (IR) od januára do júla 2023 špecialisti z expertného tímu Sophos X-Ops zistili, že priemerná doba zdržania sa útočníka v sieti – teda doba od začatia útoku do jeho odhalenia – sa pri všetkých útokoch skrátila z 10 na 8 dní a pri ransomvérových  útokoch potom na 5 dní. Ide o dlhodobý trend, v roku 2022 sa medián doby pohybu v sieti znížil z 15 na 10 dní. Okrem toho experti zistili, že útočníkom trvalo v priemere menej ako jeden deň (približne 16 hodín) kým získali prístup k službe Active Directory (AD), ktorá je pre  napadnuté spoločnosti jednou z najdôležitejších. Služba AD zvyčajne spravuje identity a prístupy k zdrojom v rámci organizácie, čo znamená, že útočníci môžu AD využiť na jednoduché zvýšenie svojich oprávnení v systéme, jednoduché maskovanie sa a na vykonávanie širokej škály škodlivých aktivít.

Zaujímavé je, že počet zistených útokov sa v priebehu týždňa  (od pondelku do nedele) zvyšoval, najmä tých ransomvérových. Takmer polovica (43 %) ransomvérových útokov bola detegovaná v piatok alebo v sobotu. „V určitom ohľade sme sa stali obeťou vlastného úspechu. S rastúcim využívaním technológií ako XDR a služieb ako MDR, rastie aj naša schopnosť odhaľovať útoky skôr. Skrátenie doby detekcie vedie k rýchlejšej reakcii, čo znamená kratšie operačné okno pre útočníkov. Zločinci tak súčasne zdokonaľujú svoje postupy. Najmä skúsené a dobre vybavené ransomvérové skupiny sj napriek vylepšenej obrane stále zrýchľujú svoje rozsiahle útoky,“ hovorí  John Shier, technický riaditeľ Sophosu..