随着勒索软件组勒索时间(TTR)的加快,入侵检测的窗口越来越短。
勒索软件团伙的运作速度比以前快得多,留给组织检测它们的时间更少。
根据对过去一年勒索软件事件的分析,平均勒索时间(TTR)约为17小时;对于某些群体,这一时间短至4至6小时。
这种速度与几年前双重勒索趋势兴起之前主要勒索软件集团的运作方式形成了鲜明对比,当时他们会潜伏在受害者网络中数天或数周,以建立更大的访问权限并获得完全控制权。
管理检测和响应公司Huntress的分析显示,勒索软件组的平均TTR与其受害者数量之间也存在明显的相关性。2024年活动显著增长的群体,如RansomHub、Lynx/Inc、Akira和Play,其TTR最低,不到8小时。
其中一些组织还采取了一种粉碎和抢夺的方法,针对中小型企业,并向其附属公司(进行入侵和感染的黑客)提供很高比例的赎金。这激励了附属公司尽可能多地支付赎金。
检测机会更少
另一个值得注意的趋势是,一些勒索软件组织更关注数据盗窃勒索,而不是传统的数据加密方法——尽管大多数组织都这样做。端点检测和响应(EDR)工具和勒索软件检测的改进可能有助于这一转变,以及成功的执法行动。
Huntress的研究人员在他们的报告中写道:“虽然这些防御措施蓬勃发展,但数据丢失防护(DLP)服务几乎没有取得任何进展,而且通常只安装在成熟的企业环境中。”。“攻击者越来越意识到这些情况,并选择窃取数据并索要赎金。”
应该指出的是,TTR并不是衡量勒索软件攻击速度的完美指标,因为事件之间的变量通常不同,包括:
攻击者的初始访问点及其为他们提供的权限
从最初受损的资产访问其他网段和系统有多容易
初始访问代理是否将对环境的访问权转售给勒索软件运营商
袭击者是否决定只在受害者的正常工作时间之外行动
Huntress分析的另一个重要因素是攻击者在初始入侵后在环境中采取的行动数量。这些包括恶意行为,如用于侦察的网络扫描、横向移动、用于特权升级的凭证转储、运行脚本、执行终端命令、下载额外的有效载荷和泄露文件。
这个指标很重要,因为恶意行为的数量越多,触发警报的可能性就越大,这将使组织能够在攻击的早期发现入侵者。据Huntress称,在调查的勒索软件事件中,恶意行为的平均数量为18起,但有些团体只采取了6起,而另一些则超过了30起。
研究人员写道:“专注于勒索、数据盗窃和间谍活动的攻击者往往会采取更多的行动,其中枢转、数据收集和泄露是这些额外的活动。”。“依赖接收勒索软件付款进行解密的攻击者倾向于执行较少的操作,因为他们基本上是在粉碎和抓取。”
