Времетраењето на ransomware нападите во 2021 година беше во просек 92,5 часа, мерено од почетниот пристап до мрежата до распоредувањето на малициозен софтвер. Во 2020 година, на оние кои напаѓаа со ransomware им требаа просечно 230 часа за да ги завршат своите напади и 1.637,6 часа во 2019 година.

Оваа промена одразува помодерен пристап кој еволуирал со текот на годините за да ги направи операциите од големи размери попрофитабилни.

Во исто време, подобрувањата во одговорот на инцидентот и откривањето закани ги принудија сајбер-криминалците да се движат побрзо, оставајќи ги бранителите со помала маргина на одговор.

Податоците беа собрани од истражувачи од тимот X-Force на IBM од анализираните инциденти во 2021 година, кои исто така забележаа поблиска соработка помеѓу брокерот за првичен пристап и операторот на ransomware.

Претходно, брокерите кои продаваа пристап до мрежата можеа да чекаат со денови или дури недели пред да најдат купувач за пристап до мрежата. Дополнително, некои ransomware банди сега имаат директна контрола над почетниот вектор на инфекција, на пример, Конти кој ја презеде операцијата на малициозен софтвер TrickBot.

Злонамерниот софтвер кој навлегува во корпоративните мрежи и се користи за да овозможи пост-експлоататорски фази на напади, понекогаш ги исполнува целите на напаѓачите за само неколку минути.

Во однос на алатките и методите што ги користат ransomware бандите, Cobalt Strike е вообичаен за интерактивни сесии, RDP за странично движење, Mimikatz и LSASS dump за ингеренциите, а SMB + WMIC и Psexec најчесто се користат за распоредување payload на мрежните хостови.

Перформансите на системот за откривање закани и одговор во 2021 година се подобрија од 2019 година, но тоа не беше доволно, велат истражувачите.

И покрај подобрената одбрана, ransomware останува значајна закана бидејќи сајбер-криминалците прибегнаа кон високо насочени напади и „рачно хакирање“ за да се движат побрзо во мрежата на жртвата и да останат невидливи до последната фаза од нападот – шифрирање на системот.

Исто така, процесот на шифрирање е побрз. Откако ќе започне, во многу случаи е многу тешко да се запре пред да се случи значителна штета.