FireEye：76%的勒索軟體攻擊發生在非上班時間

美國資安業者FireEye本周公布了勒索軟體調查報告，指出在2017年到2019年的勒索軟體攻擊活動中，有76%發生在周末或下班時間，企圖讓受駭組織來不及因應。

根據FireEye的研究，勒索軟體攻擊都是先透過RDP、網釣或是偷渡式下載（Drive-by Download）滲透目標企業，再伺機植入勒索軟體。

其中，藉由遠端桌面協定（Remote Desktop Protocol，RDP）的攻擊中，有些是暴力破解RDP憑證，有些則是在黑市購買RDP憑證，而這也是駭客最常使用的入侵手法之一。

在駭客成功入侵目標企業之後，真正部署勒索軟體的時間從0到299天都有，但有高達75%都是在3天之後才部署勒索軟體；而在部署勒索軟體的時間點上，有49%選在上班前或下班後，有27%選在周末，只有24%是在上班時間展開攻擊，代表總計有76%的攻擊行動，是出現在非上班時間。

研究人員認為，有些駭客很可能是故意在下班後、周末或假日部署勒索軟體，那時受害組織可能來還來不及反應，能夠最大化攻擊行動的效果。有些時候駭客還會依據使用者的行為來決定部署時機，例如在2019年的幾次行動中，駭客建立了Active Directory群組政策物件，根據使用者的登入或登出，來決定勒索軟體的執行時間。

由於駭客的首次入侵到真正部署勒索軟體之間，含有時間差，使得企業若能偵測到初步的入侵行動，也許就能成功防範後續的勒索軟體；FireEye也建議企業應該要教育員工小心網釣郵件及惡意網站；且在面對攻擊行動的緊急回應計畫中，納入下班時間。