En el juego incesante del gato y el ratón que juegan los ciberdelincuentes y los defensores, los atacantes siguen adaptando sus tácticas. En lugar de simplemente intentar vulnerar las defensas, a menudo obtienen acceso a través de medios legítimos: iniciando sesión. Esta realidad cambiante subraya los desafíos que enfrentan los equipos de seguridad a medida que el panorama de amenazas se ha expandido tanto en tamaño como en complejidad.
Los aspectos más destacados del Informe de adversarios activos de Sophos 2023 para líderes empresariales publicado recientemente sirven como recordatorio de la necesidad de que los líderes empresariales se mantengan alerta y proactivos en sus esfuerzos de ciberseguridad. Los datos del informe provienen de más de 150 casos de respuesta a incidentes de Sophos, que identificaron más de 500 herramientas y técnicas únicas, incluidos 118 binarios «Residing off the Land» (LOLBins). Los investigadores observaron 524 herramientas y técnicas únicas utilizadas por los atacantes: 204 herramientas ofensivas o de piratería 118 contenedores LOLB y otros 202 artefactos únicos, que incluyen varias tácticas reconocidas en la taxonomía ATT&CK de MITRE.
Estas son algunas de las conclusiones clave de la investigación.
El ransomware sigue siendo una amenaza generalizada
El ransomware sigue cobrando importancia. El informe encuentra que este tipo individual de malware, que cifra archivos y exige un rescate por su liberación, sigue siendo una amenaza persistente y potente. La mayoría de los incidentes examinados por el equipo de respuesta a incidentes de Sophos, el 68 %, estaban relacionados con ransomware, seguidos de violaciones de crimson sin ransomware (18 %). Estas cifras subrayan la naturaleza omnipresente del ransomware y su plaga para las empresas. El ransomware ha desempeñado constantemente un papel predominante en las investigaciones de respuesta a incidentes de Sophos y representó casi las tres cuartas partes de sus casos en los últimos tres años.
Este año, de los 104 casos de ransomware investigados, LockBit ocupó el primer lugar con el 15,24% de los casos manejados, seguido de cerca por BlackCat (13%), Hive (12%) y Phobos (11%). La investigación también revela que había 31 bandas de ransomware activas en 2022 y 28 en 2021.
La exfiltración de datos en los ataques de ransomware es común
Ahora existe una alta probabilidad de filtración de datos si su organización es víctima de un ataque de ransomware. Los datos revelan 65 eventos de exfiltración de datos confirmados en 2022. Eso es casi la mitad (42,76%) de los casos investigados. Cuando se trata específicamente de ataques de ransomware, más de la mitad (55%) involucraron exfiltración confirmada, y otro 12% de los casos mostraron signos de posible exfiltración o puesta en escena de datos. De los casos en los que se extrajeron datos, la mitad (49%) probablemente dio lugar a filtraciones confirmadas.
Si bien poco más del 47% de todos los ataques no mostraron evidencia concluyente de exfiltración de datos, los investigadores de Sophos señalan que en muchos casos los registros no mostraban evidencia, sino que estaban incompletos o faltaban. Es posible que se hayan robado muchos más datos en estos casos y no hay una forma concreta de saberlo con certeza.
El tiempo de permanencia del atacante se está reduciendo
En 2022, el tiempo de permanencia de los atacantes se redujo en todos los tipos de ataques, pasando de 15 a 10 días. El tiempo de permanencia en los ataques de ransomware se redujo de 11 a 9 días. Aún más noteworthy fue la disminución del tiempo de permanencia de los ataques que no son de ransomware, que cayó de 34 días en 2021 a solo 11 días en 2022.
Los investigadores no encontraron diferencias significativas en el tiempo de permanencia entre organizaciones de diferentes tamaños o sectores. Sin embargo, cuando se examinó el momento de los ataques para comprender si los atacantes mostraban preferencia por un día de la semana en specific, los datos no mostraron resultados significativos para ninguno de los dos. Esto significa que la mayoría de las organizaciones son víctimas de ataques oportunistas, que pueden comenzar o finalizar cualquier día de la semana, lo que destaca la necesidad de un equipo de analistas capacitados que monitoree constantemente el entorno de una organización.
La reducción del tiempo de permanencia también es preocupante porque significa que los atacantes están mostrando un mayor sentido de urgencia a la hora de ejecutar exploits, intensificando la carrera en curso entre atacantes y defensores. Sin embargo, la disminución también puede indicar capacidades mejoradas en la detección de ataques activos, un paso adelante para los defensores.
El informe encuentra que muchos de los ataques que ocurrieron en este período de tiempo de permanencia reducido tuvieron un impacto menos severo. Esto puede atribuirse, al menos en parte, al uso de diversas herramientas y servicios de ciberseguridad, lo que revela la importancia de una estrategia de defensa proactiva y de múltiples capas.
Parche, parche, parche
Un tema recurrente en los datos es el problema true de las vulnerabilidades que siguen sin parchearse, lo que deja abiertos agujeros fáciles de explotar para los atacantes. Por segundo año consecutivo, las vulnerabilidades explotadas (37%) fueron las que más contribuyeron a las causas fundamentales de los ataques. Esto es menor que el whole del año pasado (47%) pero consistente con el recuento de tres años (35%) de la investigación.
Muchos de los ataques analizados por los investigadores de Sophos podrían haberse evitado si tan solo se hubieran implementado los parches disponibles. En el 55% de todas las investigaciones en las que la causa principal fue la explotación de la vulnerabilidad, la culpa fue de la explotación de la vulnerabilidad ProxyShell o Log4Shell. Sin embargo, meses antes de los ataques se lanzaron parches para estas vulnerabilidades.
No abordar estas vulnerabilidades rápidamente puede hacer que su organización sea inclined a ataques. La gestión periódica de parches debería ser la piedra angular de su estrategia de ciberseguridad para tapar posibles puntos de entrada de los ciberdelincuentes.
Prepárate para cualquier cosa
Desafortunadamente, ninguna organización está inmune al compromiso. Por eso es critical evitar la complacencia. Una vez que los atacantes traspasan las defensas de su purple, la probabilidad de que se produzca un ataque y una filtración de datos es alta. Para obtener ayuda para evaluar su postura de ciberseguridad y saber cómo Sophos puede ayudarle a elevar sus defensas, visite Sophos.com.
