Los ciberdelincuentes pasan cada vez más desapercibidos en la red corporativa
Sophos Cybersecurity, Cyber Threat, Cyberangriffe
Los ciberdelincuentes pasan cada vez más tiempo desapercibidos en la red corporativa
Sophos ha publicado su informe "Active Adversary Playbook 2022". En él se describe detalladamente el comportamiento de los ciberdelincuentes que Rapid Response Team Sophos ha observado en 2021. La investigación muestra un aumento del tiempo que los ciberdelincuentes pasan en redes corporativas en un 36%. La media de tiempo que no se detecta red sin un ataque importante como el ransomware es de 34 días. El informe también muestra el impacto de las vulnerabilidades ProxyShell en Microsoft Exchange, que según Sophos están siendo explotadas por una serie de intermediarios de acceso inicial (IAB) para penetrar en las redes y luego y luego vender el acceso a otros ciberdelincuentes.
"El mundo de la ciberdelincuencia se ha vuelto increíblemente diverso y especializado", afirma John Shier, asesor principal de seguridad de Sophos. "Los intermediarios de acceso inicial (IAB) han desarrollado su propia industria del cibercrimen industria penetrando en un objetivo, explorándolo o instalando una puerta trasera, y luego backdoor y luego proporcionando acceso llave en mano a bandas de ransomware para sus propios ataques. En este cada vez más dinámico y especializado, puede resultar difícil para las organizaciones mantenerse al día con las herramientas y métodos siempre cambiantes de los atacantes. de los atacantes. Es importante que sepan qué en cada etapa de la cadena de ataque, para que puedan detectar y neutralizar los ataques lo más rápidamente y neutralizarlos lo antes posible".
Mantener la energía durante más tiempo en las pequeñas empresas y el sector educativo
La investigación de Sophos también muestra que el tiempo de permanencia de los
atacantes fue mayor en las empresas más pequeñas que en las más grandes.
Los ciberdelincuentes permanecieron en empresas de hasta 250 empleados durante
durante unos 51 días. En comparación, en empresas con entre 3.000 y 5.000 empleados, generalmente pasaban
a 5.000 empleados, generalmente pasaron "sólo" 20 días.
Los ataques de ransomware representan un caso especial. Aquí, los delincuentes actúan en conjunto
"más rápido" en general, pero también en este caso la permanencia no detectada en la red aumentó de
11 días en 2020 a 15 días en 2021.
Lasempresas más grandes son más "valiosas"para los ciberdelincuentes , compitiendo por un espacio
en la red
"Los atacantes consideran que las organizaciones más grandes son más valiosas y, por lo tanto, están
motivados para entrar y salir rápidamente.
desaparecen. Las organizaciones más pequeñas tienen un "valor" menor, por lo que los intrusos pueden permitirse permanecer más tiempo en ellas.
los intrusos pueden permitirse permanecer más tiempo en segundo plano en la red.
red. Sin embargo, también es posible que estos atacantes tengan
menos experiencia y, por tanto, pasen más tiempo en la red
explorando. Las empresas más pequeñas también suelen tener
tener menos conocimiento de la cadena de ataque para detectar y disipar los ataques.
disiparlos. Esto también prolonga la presencia de los atacantes", afirma Shier.
"Con las oportunidades que presentan las vulnerabilidades ProxyLogon y
ProxyShell sin parchear, y la aparición de los IAB, estamos viendo
múltiples atacantes en la misma red objetivo", añadió.
red. Cuando las cosas se ponen tensas allí, quieren moverse rápidamente para adelantarse a sus
competidores".
El tiempo medio de permanencia hasta la detección era mayor en el caso de los ataques "furtivos" que no habían evolucionado hasta convertirse en un ataque importante, como el ransomware. como el ransomware, y para las organizaciones más pequeñas con menos recursos de seguridad informática. El tiempo medio de permanencia de los atacantes en organizaciones que habían sufrido un ataque de ransomware fue de 15 días. En el caso de las organizaciones que habían sido objeto de una violación pero que aún no se habían visto afectadas por un ataque como el ransomware (el 23% de todos los casos examinados), la media casos), el tiempo medio de permanencia fue de 34 días. Para las organizaciones del sector educativo o con menos de 500 empleados, el tiempo de permanencia también fue mayor. también era más largo.
Los tiempos de permanencia más largos y los puntos de entrada abiertos hacen vulnerables a múltiples atacantes. Los expertos forenses de Sophos descubrieron casos en los que varios atacantes, incluidos IAB, Ransomware-Banden, cryptominer, y ocasionalmente incluso varios grupos de ransomware, atacaron la misma organización al mismo tiempo. atacaron a la misma organización
A pesar del descenso en el uso del Protocolo de Desktop Protocol (RDP) para el acceso externo, los atacantes utilizaron cada vez más esta herramienta para acceder a la red. utilizaron cada vez más la herramienta para colarse en la red. En 2020, los atacantes utilizaron RDP para actividades externas en el 32% de los casos analizados. Esta proporción Este cambio es de agradecer y sugiere que las empresas están y sugiere que las organizaciones han mejorado su gestión de las superficies de ataque externas, los atacantes están superficies de ataque, pero los atacantes siguen abusando de RDP para movimientos laterales. Sophos descubrió que en 2021, los atacantes utilizarán RDP el 82 para el reconocimiento de redes internas, frente al 69% en Jahr 2020.
Las combinaciones comunes de herramientas utilizadas en los ataques son una clara señal de advertencia de ciberataques. Las investigaciones de incidentes de investigaciones de incidentes mostraron, por ejemplo, que en 2021, el 64 por ciento de PowerShell y scripts maliciosos ajenos a PowerShell se utilizaron juntos en el 64 por ciento de los se utilizaron juntos. PowerShell y Cobalt Strike se utilizaron en el 56% de los casos. PowerShell y PsExec se encontraron combinados en el 51 por ciento de los casos. de los casos. La detección de tales correlaciones puede servir de alerta temprana de un ataque inminente o confirmar la presencia de un ataque activo. de un ataque activo.
El 50 por ciento de los incidentes de ransomware implicaban una exfiltración de datos confirmada. exfiltración de datos confirmada. Para los datos disponibles, el intervalo medio entre el robo de datos y el uso de ransomware fue de 4,28 días. ransomware fue de 4,28 días. El 73% de los incidentes a los que Sophos respondió en 2021 implicaban ransomware. De estos incidentes de ransomware, el 50 por ciento también implicó por ciento también implicó la exfiltración de datos. Este movimiento de datos suele ser la fase final del ataque antes de que se libere el ransomware.
Conti fue el grupo de ransomware más común en 2021, representando el 18% de todos los incidentes. Grupo de ransomware. El ransomware REvil representó uno de cada diez incidentes. Otras familias comunes de ransomware incluyen. DarkSide (el RaaS detrás del infame ataque Colonial Pipeline en Estados Unidos) y Black KingDom, uno de los "nuevos" grupos surgidos en marzo de 2021 a raíz de la aparición de la vulnerabilidad ProxyLogon. De los 144 incidentes incluidos en el análisis Sophos identificó 41 atacantes de ransomware diferentes. De ellos 28 eran nuevos actores detectados por primera vez en 2021. Dieciocho grupos de ransomware que aparecieron en incidentes en 2020 ya no estaban en la lista en 2021. en la lista en 2021.
El Sophos Active Adversary Playbook 2022 se basa en. 144 incidentes de 2021, dirigidos a empresas de todos los tamaños e industrias en Estados Unidos, Canadá, Reino Unido, Alemania, Italia, España, Francia, Suiza, Bélgica, Países Bajos, Austria, Emiratos Árabes Unidos, Arabia Saudí, Reino Unido Emiratos Árabes Unidos, Arabia Saudí, Filipinas, Bahamas, Angola y Japón. dirigidos. Los sectores con mayor representación son el manufacturero (17%), seguido del comercio minorista (14%), la atención sanitaria (13%) (13%), TI (9%), construcción (8%) y educación (6%). (6 por ciento).
Beneficios concretos para el sector de la seguridad informática
El objetivo del informe de Sophos es que los equipos de seguridad comprendan cómo
cómo atacan los ciberdelincuentes y cómo detectar y defenderse de la actividad maliciosa en las
y cómo detectar y defenderse de la actividad maliciosa en la red. Uno de los resultados de estas investigaciones es
el creciente establecimiento de los llamados ecosistemas de seguridad informática, una estrategia que
Sophos también está aplicando esta estrategia con su Adaptive
Cybersecurity Ecosystem (ACE). Se basa en los
datos sobre amenazas de SophosLabs, Sophos Security Operations (humanos
analistas que intervienen en miles de entornos de clientes a través del Sophos Managed Threat
entornos de clientes a través del programa Sophos Managed Threat Response) y el programa de respuesta artificial de Sophos
artificial de Sophos. Un único lago de datos integrado reúne información de todas las soluciones y fuentes de información sobre amenazas de Sophos.
de Sophos y las fuentes de información sobre amenazas. Análisis en tiempo real
permiten a los defensores prevenir intrusiones encontrando señales sospechosas.
señales. Paralelamente, las API abiertas permiten a los clientes, socios y
desarrolladores desarrollar herramientas y soluciones que interactúen con el sistema.
Todo se gestiona de forma centralizada a través de la plataforma Sophos Central Management.