情境示意圖,Photo by Aleksey Milov on Unsplash (https://unsplash.com/photos/wYTeEEhAHEQ)

美國資安業者FireEye本周公布了勒索軟體調查報告,指出在2017年到2019年的勒索軟體攻擊活動中,有76%發生在周末或下班時間,企圖讓受駭組織來不及因應。

根據FireEye的研究,勒索軟體攻擊都是先透過RDP、網釣或是偷渡式下載(Drive-by Download)滲透目標企業,再伺機植入勒索軟體。

其中,藉由遠端桌面協定(Remote Desktop Protocol,RDP)的攻擊中,有些是暴力破解RDP憑證,有些則是在黑市購買RDP憑證,而這也是駭客最常使用的入侵手法之一。

在駭客成功入侵目標企業之後,真正部署勒索軟體的時間從0到299天都有,但有高達75%都是在3天之後才部署勒索軟體;而在部署勒索軟體的時間點上,有49%選在上班前或下班後,有27%選在周末,只有24%是在上班時間展開攻擊,代表總計有76%的攻擊行動,是出現在非上班時間。

研究人員認為,有些駭客很可能是故意在下班後、周末或假日部署勒索軟體,那時受害組織可能來還來不及反應,能夠最大化攻擊行動的效果。有些時候駭客還會依據使用者的行為來決定部署時機,例如在2019年的幾次行動中,駭客建立了Active Directory群組政策物件,根據使用者的登入或登出,來決定勒索軟體的執行時間。

由於駭客的首次入侵到真正部署勒索軟體之間,含有時間差,使得企業若能偵測到初步的入侵行動,也許就能成功防範後續的勒索軟體;FireEye也建議企業應該要教育員工小心網釣郵件及惡意網站;且在面對攻擊行動的緊急回應計畫中,納入下班時間。


Advertisement

更多 iThome相關內容