Согласно https://www.fireeye.com/blog/threat-...nt-trends.html, опубликованному американской компанией FireEye, 76% всех вымогательских атак в корпоративном секторе происходят в нерабочее время: 49% из них фиксируются в ночное время в будние дни, а еще 27% — в выходные.
Эти данные основаны на десятках расследований инцидентов с применением шифровальщиков за период с 2017 по 2019 год. Такая статистика легко объяснима, ведь в большинстве компаний попросту нет ИТ-персонала, который дежурил бы по ночам и в выходные дни. А если оперативно отреагировать на атаку некому, то велики шансы, что процесс шифрования успеет беспрепятственно завершиться на машинах по всей сети компании.
http://images.vfl.ru/ii/1584537065/8...1/29915116.png
Исследователи пишут, что, как правило, операторы вымогательского ПО заранее проникают в сети компаний, затем тратят время на боковые перемещения, чтобы получить доступ к максимальному количеству рабочих станций, и лишь потом вручную устанавливают малварь на все системы и запускают процесс шифрования. По словам FireEye, время от первоначальной компрометации до фактической атаки в среднем составляет три дня.
Как уже было сказано выше, в наши дни вымогательские атаки практически всегда запускаются только по приказу злоумышленников, но не автоматически: большинство вымогателей тщательно контролируют свою малварь, и внимательно выбирают, когда наиболее подходящее время для атаки и выведения сети из строя.
http://images.vfl.ru/ii/1584537117/2...3/29915135.png
По подсчетам FireEye, с 2017 года количество таких управляемых людьми вымогательских атак возросло на огромные 860%, то есть теперь такие инциденты затрагивают все сектора и все географические зоны, а не только компании из Северной Америки.
Наиболее популярными векторами таких атак, согласно отчету, стали брутфорс-атаки на отрытые порты RDP, направленный на сотрудников компаний фишинг, атаки drive-by, а также использование одного зараженного хоста для распространения малвари на другие.
</img>