勒索软件攻击驻留时间锐减至5天，RDP仍是主要媒介

根据Sophos最新发布的活跃对手报告，勒索软件攻击者在受感染网络中驻留的时间越来越短，攻击速度大幅提升以应对不断缩短的检测时间窗口（MTTD）。2023年上半年，勒索软件攻击的中位驻留时间从2022年的9天锐减至5天。

Sophos的统计数据显示（上图），今年上半年所有网络攻击的总体中位驻留时间为8天，低于2022年的10天。其中勒索软件攻击占Sophos今年记录的所有网络攻击的68.75%。

虽然从数据上看勒索软件和总体网络攻击的中位驻留时间都在下降，但事实上，虽然勒索软件攻击速度加快，但其他类型的网络攻击的驻留时间更长了，2023年非勒索软件攻击事件的中位驻留时间从11天增加到了13天。

报告的其他统计数据显示，2023年统计的所有网络攻击的平均驻留时间为15-16天，Sophos今年观察到的最长驻留时间超过三个月。

报告的其他主要发现如下：

账号泄露首次超过漏洞利用成攻击主因

在往年的数据统计中，漏洞利用在攻击的根本原因中最为突出，其次是账号泄露。最新的统计数据显示这一趋势发生逆转，账号泄露首次超过漏洞利用成为网络攻击的主要原因。Sophos的报告显示，2023年前6个月，账号泄露占攻击原因的50%，而利用漏洞仅占23%。

攻击者喜欢在凌晨发动攻击

报告还给出了一些有趣的数据，例如：无论时是勒索软件组织还是其他攻击者都更喜欢在周二、周三和周四攻击企业，61%的攻击集中在工作周中间三天：

攻击者还喜欢挑选工作日的夜间或凌晨攻击目标（下图），因为这些时段企业IT团队往往人手不足，更难以检测到入侵及横向移动。

RDP依然是主要攻击媒介

报告发现，2023年上半年RDP（远程桌面协议）仍然是最多被滥用的攻击媒介。统计数据显示，95%的攻击都使用了RDP。然而，攻击者主要将RDP用于内部活动（93%），仅有18%的用于外部活动。

LockBit是最活跃的勒索软件组织

2023年前6个月，在Sophos调查的55起勒索软件案件中，LockBit以15%的案件数量稳居榜首，紧随其后的是BlackCat（13%）；Royal(11%)；Play、BlackBasta和CryTOX（7%）三者并列跻身前5名。活跃勒索软件组织的总体数量呈现下滑趋势，Sophos发现，2023年迄今为止有24个活跃的勒索软件组织，而2022年为33个。

报告链接：

https://news.sophos.com/en-us/2023/08/23/active-adversary-for-tech-leaders/