A Sophos kutatása azt is mutatja, hogy a behatolók tartózkodási ideje hosszabb volt a kisebb szervezetek környezeteiben. A támadók körülbelül 51 napig tartózkodtak a legfeljebb 250 alkalmazottat foglalkozó szervezetek hálózatain, míg a 3000 és 5000 közötti alkalmazottat foglalkoztató szervezetnél jellemzően 20 napot töltöttek.

A betolakodók tartózkodási idejének átlaga a friss kutatás által vizsgálat tavalyi évben 15 nap volt – szemben a 2020-as 11 napos értékkel.

A támadók a nagyobb szervezeteket értékesebbnek tartják, így motiváltabbak, hogy bejussanak, megszerezzék, amit akarnak és távozzanak. A kisebb szervezeteket kevésbé értékesnek tekintik, így a támadók megengedhetik maguknak, hogy a hálózaton hosszabb időt töltsenek el a háttérben settenkedve. Az is lehetséges, hogy ezek a támadók kevésbé voltak tapasztaltak és több időre volt szükségük kitalálni, mit kell tenniük, miután bejutottak a hálózatra. Végül pedig a kisebb szervezetek általában kisebb rálátással bírnak a támadási láncra, hogy észleljék és eltávolítsák a támadókat, amely meghosszabbítja a jelenlétüket – elemzi a helyzetet John Shier, a Sophos vezető biztonsági tanácsadója.

„Egyre több bizonyítékot látunk arra, hogy egyetlen célpontnál több támadó is jelen van. Ha egy hálózaton belül nagy a zsúfoltság, a támadók gyorsan fognak mozogni, hogy legyőzzék a konkurenciájukat.”

A zsarolóvírus által sújtott szervezeteknél a tartózkodási idő mediánja 11 nap volt. Azok esetében, ahol történt behatolás, de nem érintette őket olyan jelentős támadás, mint például egy zsarolóvírus-csapás (az összes vizsgált eset 23 százaléka), a tartózkodási idő mediánja 34 nap volt. Az oktatási szektorban működő vagy 500 főnél kevesebb alkalmazottat foglalkoztató szervezetek esetében is hosszabb volt a tartózkodási idő.

Óriási veszélyben a 10 főnél kisebb magyarországi vállalkozások

Eddig nem látott mértékben támadják a vállalkozásokat zsarolóvírussal. A támadók célkeresztjébe újabban óriási számmal kerülnek a 10 főnél kisebb cégek - figyelmeztet a hazai alapítású Balasys. A közép-európai régió egyik legjelentősebb kiberbiztonsági szoftvergyártója szerint a megoldás a „nulla bizalom" modell bevezetése lehet.

A zsarolóvírusos incidensek felének képezte részét adatlopás. A Sophos rendelkezésére álló adatok alapján az adatlopás és a ransomware üzembe helyezése közötti átlagos rés 4,28 nap volt. Az adatok ellopása gyakran a támadás utolsó szakasza volt a zsarolóvírus elszabadítása előtt.

A Sophos emlékeztet, a veszélyre figyelmeztető jelek közé tartozik a legitim eszközök, eszközkombinációk vagy egy tevékenységnek egy váratlan helyen vagy szokatlan időben történő észlelése.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.