Неважно, как шифровальщик попадет в сеть – через уязвимость на сервере или фишинговое письмо – величина ущерба будет зависеть от того, насколько глубоко ему удастся внедриться в инфраструктуру, к каким ресурсам и данным он сможет получить доступ.
Как правило, на компьютер проникает легкий загрузчик, незаметный для средств защиты и обнаружения. После попадания на корпоративную машину он связывается с сервером злоумышленников и устанавливает необходимые элементы, действуя максимально скрытно. После этого вредоносная программа начинает исследовать ресурсы компании в поисках узлов сети, на которые можно распространиться. Корпоративные сети уязвимы внутри периметра, поэтому программы-вымогатели способны в них быстро размножаться.
Распространение по сети имеет решающее значение. Для завершения атаки шифровальщику нужно найти ценные данные, которые редко находятся на первой же зараженной машине или доступны для её пользователя.
Именно на этом этапе наличие настроенного сетевого доступа с «нулевым доверием» ZTNA останавливает продвижение вируса. Невозможность увидеть ресурсы сети, на обращение к которым у скомпрометированной рабочей станции нет прав, создает естественный барьер для горизонтального распространения атаки и ограничивает возможный масштаб поражения, если шифрование данных все же будет запущено злоумышленниками.