La mayoría de los ataques de ransomware tienen lugar durante la noche o durante el fin de semana.


rw-1.png

La gran mayoría de los ataques de ransomware dirigidos al sector empresarial se producen fuera del horario laboral usual, durante la noche o durante el fin de semana.

Según un informe publicado hoy por la seguridad cibernética de EE. UU. FireEye, el 76% de todas las infecciones de ransomware en el sector empresarial se producen fuera del horario laboral, con un 49% durante la noche durante los días laborables y el 27% durante el fin de semana.

Los números, dijo FireEye, fueron compilados a partir de docenas de investigaciones de respuesta a incidentes de ransomware de 2017 a 2019.

La razón por la cual los atacantes eligen activar el proceso de encriptación de ransomware durante la noche o el fin de semana es porque la mayoría de las compañías no tienen personal de TI trabajando esos turnos, y si lo hacen, es muy probable que sean poco hábiles.

Si un ataque de ransomware desencadena una alerta de seguridad dentro de la empresa, entonces no habría nadie para reaccionar de inmediato y cerrar una pink, o el own de mano corta tendría dificultades para averiguar qué está sucediendo antes de que finalice el proceso de cifrado de ransomware y la crimson de la compañía está inactiva y rescatada.

rw-2.png "src =" https://zdnet4.cbsistatic.com/hub/i/2020/03/16/7a6e1c9d-2308-4f93-808b-1f81ebef0684/rw-2.png

FireEye dice que la mayoría de estos tipos de ataques furtivos de ransomware nocturnos / fines de semana suelen ser el resultado de una intrusión y compromiso prolongado de la pink.

La empresa de seguridad cibernética dice que las pandillas de ransomware violan la pink de una empresa, pasan su tiempo moviéndose lateralmente a la mayor cantidad de estaciones de trabajo posible, y luego instalan manualmente el ransomware en todos los sistemas y desencadenan la infección.

Según FireEye, el tiempo desde el compromiso inicial hasta el ataque authentic del ransomware, conocido como «tiempo de permanencia», es, en promedio, tres días.

El aumento de los ataques de ransomware operados por humanos

En todos estos casos, el ransomware se activa a instancias del atacante, y no automáticamente una vez que se infecta una red, que ha sido el antiguo modo de operación para la mayoría de las cepas de ransomware.

Hoy, la mayoría de las pandillas de ransomware tienen el control full de sus cepas de ransomware y deciden con mucho cuidado cuándo es el momento más adecuado para bloquear una red.

Microsoft llama a este tipo de incidentes «ataques de ransomware operados por humanos«En un informe publicado la semana pasada, el fabricante del sistema operativo incluyó consejos sobre cómo proteger las redes y establecer reglas de detección para detectar pandillas de ransomware durante el» tiempo de permanencia «y antes de que activen su carga útil ultimate y bloqueen a las compañías.

FireEye dijo que desde 2017, los ataques de ransomware operados por humanos han aumentado un 860%, y los incidentes ahora afectan a todos los sectores y todas las ubicaciones geográficas, y no solo a las empresas norteamericanas.

En los casos en que FireEye investigó, los vectores de infección más comunes fueron:

Ataques de fuerza bruta contra estaciones de trabajo con puertos RDP (Distant Desktop Protocol) abiertos en Online
La suplantación de identidad (phishing) contra los empleados de una empresa y el uso de un host infectado para propagarse a otros
Descargas automáticas (empleados que visitan un sitio net comprometido y descargan archivos infectados con malware).

Al igual que Microsoft en su informe la semana pasada, FireEye ahora está instando a las empresas invertir en el despliegue de reglas de detección para detectar atacantes durante su «tiempo de permanencia» previo a la infección.

«Si los defensores de la crimson pueden detectar y remediar el compromiso inicial rápidamente, es posible evitar el daño significativo y el costo de una infección de ransomware», dijo FireEye.



Enlace a la noticia primary