ランサムウェアの脅威アクターは、セキュリティ ソリューションが警鐘を鳴らすまでに、侵害されたネットワークに費やす時間が短くなります。今年上半期、ハッカーの滞在時間の中央値は、2022 年の 9 日から 5 日に減少しました。
サイバーセキュリティ企業ソフォスの統計によると、今年上半期のすべてのサイバー攻撃の滞在時間の中央値は 8 日で、2022 年の 10 日から減少しました。
同社は、ソフォスが今年記録したすべてのサイバー攻撃のうち、ランサムウェア攻撃が 68.75% を占めたと指摘しています。
ソフォスの報告によると、今年はランサムウェア以外のインシデントの滞留時間の中央値が 11 日から 13 日に増加しました。これは、ランサムウェアの脅威の攻撃者はより迅速に行動する一方で、ネットワーク侵入を実行する他のサイバー犯罪者は「停滞して」機会を待つ傾向があることを示唆しています。
平均滞留時間は全症例で 15 ~ 16 日ですが、今年観察された最長は 3 か月以上でした。
ソフォスは、データ漏洩が 43.42% のケースで発生していることを観察しており、これは昨年から 1.3% 増加しています。
同社ではそのような攻撃が減少し、2022 年の 42.76% から 2023 年上半期には 31.58% まで減少したため、データ盗難はより一般的になっているようです。この傾向を裏付けるのは、データが持ち出されなかったことが確認されたインシデントの増加です (増加) 1.32% から 9.21%)。
曜日と時間に関するソフォスのデータを見ると興味深いパターンも明らかになり、ランサムウェア オペレーターを含む攻撃者が火曜日、水曜日、木曜日に組織を攻撃することを好むことがわかります。
脅威アクターは、IT チームが人員不足でネットワーク上での侵入とその展開を検出する可能性が低いことを把握するために、現地の勤務時間の遅い時間にターゲットを攻撃します。
しかし、ソフォスは、ランサムウェア インシデントのほとんどが金曜日と土曜日に発生していることを発見しました。金曜日と土曜日は、技術チームに連絡するのが難しいため、企業の対応が最も遅くなります。
最も悪用されているツールの 1 つは、依然としてリモート デスクトップ プロトコル (RDP) であり、ほとんどの Windows バージョンに組み込まれています。 「侵害された資格情報の使用が蔓延しており、一要素認証が標準であるという事実を考慮すると、攻撃者がそれを好む理由は不思議ではありません」とソフォスは言う。
統計によると、侵入の 95% で RDP が使用されました。ただし、攻撃者は主に内部活動 (ケースの 93%) に RDP を使用し、外部で使用されたのは 18% のケースのみでした。
これらの理由から、ソフォスは企業に対し、RDP のセキュリティを最優先にすることを推奨しています。この種のアクセスを拒否すると、ハッカーが侵入に多大な時間と労力を費やす可能性があり、その結果、侵入の検出に時間がかかることになります。
データを適切な期間保存し、定期的にチェックすることも重要な要素です。これにより、すでにネットワーク上に存在する攻撃者を、攻撃の最終段階に移行する前に捕らえることができるからです。
また、防御者やインシデント対応者に、何を行う必要があるのか、問題に迅速に対処する方法を明確に示す重要な情報を提供することもできます。
Comments