FireEye：76%的勒索软件攻击发生在非上班时间

美国资安业者FireEye本周公布了勒索软件调查报告，指出在2017年到2019年的勒索软件攻击活动中，有76%发生在周末或下班时间，企图让受骇组织来不及因应。

根据FireEye的研究，勒索软件攻击都是先透过RDP、网钓或是偷渡式下载（Drive-by Download）渗透目标企业，再伺机植入勒索软件。

其中，借由远端桌面协定（Remote Desktop Protocol，RDP）的攻击中，有些是暴力破解RDP凭证，有些则是在黑市购买RDP凭证，而这也是骇客最常使用的入侵手法之一。

在骇客成功入侵目标企业之后，真正部署勒索软件的时间从0到299天都有，但有高达75%都是在3天之后才部署勒索软件；而在部署勒索软件的时间点上，有49%选在上班前或下班后，有27%选在周末，只有24%是在上班时间展开攻击，代表总计有76%的攻击行动，是出现在非上班时间。

研究人员认为，有些骇客很可能是故意在下班后、周末或假日部署勒索软件，那时受害组织可能来还来不及反应，能够最大化攻击行动的效果。有些时候骇客还会依据使用者的行为来决定部署时机，例如在2019年的几次行动中，骇客建立了Active Directory群组政策物件，根据使用者的登入或登出，来决定勒索软件的执行时间。

由于骇客的首次入侵到真正部署勒索软件之间，含有时间差，使得企业若能侦测到初步的入侵行动，也许就能成功防范后续的勒索软件；FireEye也建议企业应该要教育员工小心网钓邮件及恶意网站；且在面对攻击行动的紧急回应计划中，纳入下班时间。