Home Sociedad La mayoría de los ataques de rescate, tiene lugar fuera de las...

La mayoría de los ataques de rescate, tiene lugar fuera de las horas de trabajo

Los expertos en seguridad de FireEye publicaron un interesante informe sobre las tendencias de implementación del ransomware, que reveló que gran parte de los ataques (76%) contra el sector empresarial, se produce después de cumplido el horario laboral.

FireEye compiló el informe utilizando datos de docenas de infecciones de Ransomware que ha investigado desde 2017 a 2019.

El 49% de las implantaciones de software de rescate tienen lugar durante la noche en los días laborables, y el 27% durante el fin de semana.

El momento en que se producen los ataques de rescate no es casual, los atacantes intentan desplegar el malware cuando la presencia del personal de TI es reducida y la probabilidad de ser detectados es baja. Fuera de las horas de trabajo las víctimas pasan más tiempo reaccionando a la intrusión.

Los despliegues de programas informáticos de rescate suelen ser el resultado de un compromiso y una intrusión prolongados en la red, en muchos casos después de que los agentes de la amenaza logran acceder a la red intentan realizar movimientos laterales para infectar el mayor número posible de sistemas.

La empresa de seguridad cibernética dice que las bandas de rescatadores abren una brecha en la red de una empresa y dedican su tiempo a desplazarse lateralmente al mayor número posible de estaciones de trabajo.

“La mayoría de estos incidentes parecen ser infecciones posteriores al compromiso, y creemos que los actores de la amenaza están acelerando el uso de tácticas que incluyen el despliegue posterior al compromiso para aumentar la probabilidad del pago del rescate”, dice el informe publicado por FireEye. “También observamos incidentes en los que se ejecutó el rescate inmediatamente, por ejemplo los incidentes GANDCRAB y GLOBEIMPOSTER, pero la mayoría de las intrusiones examinadas fueron de mayor duración y despliegues posteriores al compromiso más complejos”.

El informe también revela que el “tiempo de permanencia”, (el tiempo entre la primera evidencia de compromiso de la actividad maliciosa y el ataque real de rescate) es en promedio de tres días.

Si las infecciones iniciales se detectan y contienen rápidamente, se podría evitar el coste asociado a la infección.

También, se analizaron los vectores de infección iniciales a través de múltiples incidentes de rescate, incluyendo RDP, ataques de phishing y descarga de malware unidad por unidad. Los expertos notaron que los ataques RDP fueron más frecuentes en 2017, pero disminuyeron en 2018 y 2019.

Con información de: Security Affairs.