De meeste ransomware wordt buiten kantooruren uitgerold. Bijna de helft van de infecties vond door de week plaats, meestal vlak voor of na het begin van de werkdag. In ruim een kwart van de gevallen sloegen de aanvallers in het weekeinde toe. Ook vakantieperioden zijn populair. Bijkomend probleem: in veel gevallen werkt de backup niet goed. Dit blijkt uit onderzoeken van respectievelijk beveiligingsbedrijf FireEye en dataherstelbedrijf Ontrack, beide Amerikaans.
Uit het onderzoek van FireEye blijkt dat aanvallers graag buiten de gebruikelijke werktijden opereren in de verwachting dat dan minder snel wordt gereageerd op besmettingen met malware. Ze zijn vaak al dagenlang in het netwerk aanwezig voordat de ransomware wordt uitgerold.
Volgens FireEye duurt die periode 75 procent van de gevallen ten minste drie dagen. Dit betekent dat organisaties die worden aangevallen, best veel tijd hebben om met tegenmaatregelen te komen. Bij een snelle en adequate reactie kan dus heel wat schade worden voorkomen.
Ontrack
Uit een ander onderzoek, namelijk van Ontrack (data recovery), blijkt dat 39 procent van de slachtoffers van ransomware geen goede backup hadden. Deze organisaties hadden geen toegang tot een werkende backup. 37 procent kon hierdoor maar een deel van hun data terughalen, zo komt naar voren uit een enquête onder 541 organisaties.
Jaap-Jan Visser, country manager van Ontrack Nederland, raadt organisaties om hun backups en back-upsysteem regelmatig te controleren. Dit om er zeker van te zijn dat de back-up op de juiste manier is gemaakt. Het backupsysteem mag niet zijn verbonden met het netwerk of alleen zolang dat nodig is. Zo wordt voorkomen dat ook de backup wordt getroffen door malware.