اجرای اکثر حملات باج‌افزاری هنگام شب و آخر هفته‌ها

بررسی‌های پژوهشگران امنیتی روی حملات باج‌افزاری علیه شرکت‌ها و موسسات مختلف نشان می‌دهد که اکثر این حملات در خارج از ساعات کاری و معمولا در هنگام شب یا آخر هفته‌ها انجام شده‌اند. حملات باج‌افزاری مدیریت شده توسط هکرها از سال ۲۰۱۷ تا به‌امروز در حدود ۸۶۰ درصد افزایش داشته که نشان می‌دهد همه بخش‌ها در تمام موقعیت‌های جغرافیایی و نه‌تنها شرکت‌های آمریکای شمالی تحت تاثیر این حملات هستند.
حملات شبانه باج‌‌افزارها

براساس آمار منتشر شده از سوی شرکت امنیت سایبری فایرآی که طی یک بازه زمانی دو ساله از سال ۲۰۱۷ تا ۲۰۱۹ انجام شده است، ۷۶ درصد از حملات باج‌افزاری خارج از ساعات کاری، ۴۹ درصد در شب‌های طول هفته و ۲۷ درصد در آخر هفته‌ها انجام شده‌اند.

گفته می‌شود دلیل اینکه مهاجمان این زمان‌ها را برای انجام فرآیند رمزگذاری انتخاب کرده‌اند آن است که اکثر شرکت‌ها در این زمان‌ها، معمولا شیفت‌ها اداری فعال در بخش‌های فناوری اطلاعات (IT) ندارند و حتی اگر داشته باشند نیز توانایی‌های آن‌ها محدود از حالت‌های معمول است.

به‌طور معمول، اگر یک حمله باج‌افزاری موجب ایجاد هشدار در یک شرکت یا سازمان شود، فردی برای رسیدگی سریع به شرایط و از دسترس خارج کردن شبکه وجود خواهد داشت؛ از طرفی فهمیدن احتمال آلودگی شبکه از سوی کارکنان و کارمندان در ساعات اداری، بیشتر از ساعات تعطیلی ادارات و شرکت‌ها است. بنابراین، مهاجمان از این موضوع به‌صورت هوشمندانه برای تعیین زمان مناسب گسترش آلودگی و رمزگذاری اطلاعات توسط باج‌افزارها استفاده می‌کنند.

شرکت فایرآی همچنین در گزارش خود گفته است که اکثر حملاتی که در شب‌ها یا آخر هفته‌ها رخ می‌دهند، نشان‌ دهنده یک نفوذ و در معرض خطر قرار گرفتن طولانی مدت است. به تعبیری این موضوع نشان‌دهنده این است که مهاجمان پس از نفوذ و به‌دست گرفتن کنترل شبکه شرکت‌ها، وضعیت فعالیت‌های آن‌ها را رصد کرده و در زمان مناسب (یعنی شب یا آخر هفته)، عملیات‌های خود را اجرایی کرده‌اند.

در تعریف فنی‌تر، فایرآی در گزارش خود از این موضوع با عنوان زمان سکون (dwell time) یاد کرده است که فاصله زمانی در معرض خطر قرار گرفتن اولیه تا حمله اصلی باج‌افزاری را نشان می‌دهد و معمولا سه روز زمان می‌برد.

در همین رابطه، توصیه محققان امنیتی شرکت فایرآی به شرکت‌ها این است که روی روش‌های شناسایی حملات طی دوره پیش از حمله یا همان دوره سکون سرمایه‌گذاری کنند.

ظهور حملات باج‌افزاری مدیریت شده توسط انسان‌ها

براساس مطالعات فایرآی، در همه این موارد، باج‌افزار پس از آلوده شدن شبکه به دستور مهاجم فعالیت می‌کند که در واقع شیوه‌ای قدیمی برای مدیریت باج‌افزار است. امروزه مهاجمان کنترل کامل بدافزار خود را در دست دارند و درباره تصمیم‌گیری زمان مناسب برای قفل کردن یک شبکه بسیار دقیق هستند.
شرکت مایکروسافت نیز در گزارشی این نوع از حملات را «حملات باج‌افزاری مدیریت شده توسط انسان‌ها» نامیده و راه‌حل‌هایی را برای امن کردن شبکه و راه‌اندازی قوانینی برای شناسایی طی دوره سکون ارائه کرده است.

در موارد بررسی شده توسط محققان امنیتی، بیشترین شکل آلودگی‌ها از طریق موارد زیر گسترش یافته‌اند:

  • حملات جستجوی فراگیر علیه ایستگاه‌های کاری با پروتکل RDP محافظت نشده
  • گسترش فیشینگ علیه کارمندان شرکت و استفاده از یک میزبان آلوده برای گسترش باج‌افزار بین دیگران
  • ورود کارمندان به سایت‌های در معرض خطر و دانلود فایل‌های آلوده به بدافزار

 

توضیحات بیشتر در:

They Come in the Night: Ransomware Deployment Trends