Z najnowszego raportu „Sophos Active Adversary 2025” wynika, że aż 84 proc. cyberataków ransomware ma miejsce poza standardowymi godzinami pracy – głównie w nocy i w weekendy. W większości przypadków przestępcy nie muszą nawet „włamywać się” do systemów – logują się, wykorzystując wcześniej skradzione dane logowania.
Wiodącym wektorem ataku pozostaje przejęcie danych uwierzytelniających (41 proc.). Kolejne to wykorzystanie luk w zabezpieczeniach (22 proc.) oraz ataki typu brute force (21 proc.). Szczególnie często celem staje się protokół RDP, eksploatowany w 84 proc. przypadków. Wśród najbardziej aktywnych grup w 2024 r. były Akira, Fog oraz rozbita przez organy ścigania grupa Lockbit.
Według Sophos średni czas potrzebny na wykradzenie danych to 73 godziny, natomiast firmy potrzebują 2,7 dnia, aby w ogóle zauważyć, że padły ofiarą cyberataku.
– Bierna ochrona nie wystarcza. Skoordynowane ataki wymagają skoordynowanej obrony, opartej nie tylko na technologii, ale i całodobowym wsparciu zespołów reagowania (MDR) – komentuje cytowany w komunikacie John Shier, CISO Sophos.
Wdrożenie rozwiązań typu MDR (Managed Detection and Response) pozwala skrócić czas obecności napastników w systemie (z 11,5 dnia do 1 dnia w typowych atakach) oraz znacząco ograniczyć skutki incydentu. Przedsiębiorstwa korzystające z MDR odnotowują nawet 40 razy mniejsze straty operacyjne i finansowe, a czas pełnego przywrócenia działania skraca się z 55 do kilku dni.