La mayoría de los ataques de ransomware tienen lugar durante la noche o durante el fin de semana.

La gran mayoría de los ataques de ransomware dirigidos al sector empresarial se producen fuera del horario laboral normal, durante la noche o durante el fin de semana. Según un informe publicado hoy por FireEye de ciberseguridad de EE. UU., El 76% de todas las infecciones de ransomware en el sector empresarial se producen fuera del horario laboral, con un 49% durante la noche durante los días laborables y el 27% durante el fin de semana. Los números, dijo FireEye, fueron compilados a partir de docenas de investigaciones de respuesta a incidentes de ransomware entre 2017 y 2019.
La razón por la cual los atacantes eligen activar el proceso de encriptación de ransomware durante la noche o el fin de semana es porque la mayoría de las empresas no tienen personal de TI trabajando esos turnos, y si lo hacen, es muy probable que sean poco hábiles. Si un ataque de ransomware desencadena una alerta de seguridad dentro de la empresa, entonces no habría nadie para reaccionar de inmediato y cerrar una red, o el personal de mano corta tendría dificultades para averiguar qué está sucediendo antes de que finalice el proceso de cifrado de ransomware y la red de la compañía está inactiva y rescatada. FireEye dice que la mayoría de estos tipos de ataques furtivos de ransomware nocturnos / fines de semana suelen ser el resultado de una intrusión y compromiso de red prolongados.
La empresa de seguridad cibernética dice que las pandillas de ransomware violan la red de una empresa, pasan su tiempo moviéndose lateralmente a la mayor cantidad de estaciones de trabajo posible, y luego instalan manualmente el ransomware en todos los sistemas y desencadenan la infección. Según FireEye, el tiempo desde el compromiso inicial hasta el ataque real del ransomware, conocido como "tiempo de permanencia", es, en promedio, tres días. En todos estos casos, el ransomware se activa a instancias del atacante, y no automáticamente una vez que se infecta una red, que ha sido el antiguo modo de operación para la mayoría de las cepas de ransomware. Hoy en día, la mayoría de las pandillas de ransomware tienen el control total de sus cepas de ransomware y deciden con mucho cuidado cuándo es el momento más adecuado para bloquear una red. Microsoft llama a este tipo de incidentes "ataques de ransomware operados por humanos". En un informe publicado la semana pasada, el fabricante del sistema operativo incluyó consejos sobre cómo proteger las redes y establecer reglas de detección para detectar pandillas de ransomware durante el "tiempo de permanencia" y antes de que activen su carga útil final y bloqueen a las empresas.
FireEye dijo que desde 2017, los ataques de ransomware operados por humanos han aumentado un 860%, y los incidentes ahora afectan a todos los sectores y todas las ubicaciones geográficas, y no solo a las empresas norteamericanas. En los casos en que FireEye investigó, los vectores de infección más comunes fueron: Ataques de fuerza bruta contra estaciones de trabajo con puertos RDP (Remote Desktop Protocol) abiertos en Internet La suplantación de identidad (phishing) contra los empleados de una empresa y el uso de un host infectado para propagarse a otros Descargas automáticas (empleados que visitan un sitio web comprometido y descargan archivos infectados con malware). Al igual que Microsoft en su informe de la semana pasada, FireEye ahora está instando a las empresas a invertir en la implementación de reglas de detección para detectar atacantes durante su "tiempo de permanencia antes de la infección". "Si los defensores de la red pueden detectar y remediar el compromiso inicial rápidamente, es posible evitar el daño significativo y el costo de una infección de ransomware", dijo FireEye. pag VER GALERÍA COMPLETA.