La investigación de Sophos Active Adversary Playbook 2022 revela que el tiempo de residencia de los ciberdelincuentes en las redes de sus víctimas aumentó en un 36 %

Sophos, líder mundial en ciberseguridad de última generación, publicó hoy "Libro de jugadas del adversario activo 2022 ", el informe que resume los comportamientos cibercriminales observados en campo por el equipo de Sophos Rapid Response durante 2021.

Los datos que surgieron de la investigación indican una Aumento del 36 % en el tiempo que los ciberdelincuentes permanecen dentro de los sistemas afectados en 2021 con una mediana de 15 días frente a los 11 de 2020.

El informe también destaca el impacto de las vulnerabilidades de ProxyShell dentro de Microsoft Exchange, que Sophos cree que algunos agentes de acceso inicial (IAB) explotan para violar las redes y luego revender su acceso a otros.

“El mundo del cibercrimen se ha vuelto increíblemente diverso y especializado. los Agente de acceso inicial (que brindan a la industria del cibercrimen acceso a los sistemas de TI corporativos) han desarrollado una industria real que piratea un objetivo, explora su entorno de TI o instala una puerta trasera, y luego revende el acceso a las pandillas que se ocupan de él. ransomware explica John Shier, asesor sénior de seguridad de Sophos. “En este escenario cada vez más dinámico y especializado, puede ser difícil para las empresas seguir el ritmo de la evolución de las herramientas y los enfoques que utilizan los ciberdelincuentes. Es fundamental que el defensor sepa qué buscar en cada etapa de la secuencia de ataque, para que pueda detectar y neutralizar los intentos de infracción lo más rápido posible”.

La investigación de Sophos también muestra que el tiempo de residencia de los intrusos es mayor en los entornos de TI corporativos que en la mayoría pequeño: unos 51 días en la realidad con hasta 250 empleados frente a 20 días en aquellos con 3.000 a 5.000 empleados.

“Los ciberdelincuentes otorgan mayor valor a las empresas más grandes, por lo que están más motivados para ingresar, hacer lo que tienen que hacer y luego salir. Las empresas más pequeñas tienen un "valor" percibido más bajo, por lo que los atacantes pueden permitirse permanecer dentro de la red durante períodos de tiempo más prolongados. También es posible que en estos casos los atacantes tengan menos experiencia y, por lo tanto, tarden más en averiguar qué hacer una vez dentro de la red. Las pequeñas empresas también suelen tener menos visibilidad de las secuencias de ataque y, en consecuencia, les resulta más difícil detectar y neutralizar las infracciones, lo que prolonga la presencia de los ciberdelincuentes”, comenta Shier. “Con las oportunidades que surgen de las vulnerabilidades no resueltas de ProxyLogon y ProxyShell y la propagación de agentes de acceso inicial, cada vez buscamos más atacantes múltiples dentro de la misma víctima. Si hay más delincuentes en una red, cada uno de ellos querrá actuar lo más rápido posible para vencer a tiempo a la competencia”.

 Entre los datos más relevantes que surgieron, cabe destacar los siguientes:

• La mediana de tiempo que los ciberdelincuentes permanecen antes de ser descubiertos es mayor para las intrusiones sigilosas que no desencadenan ataques manifiestos como el ransomware, y para las pequeñas empresas y segmentos de negocios más pequeños que tienen menos recursos de seguridad de TI. El valor medio del tiempo de residencia en empresas afectadas por ransomware es han pasado 11 dias. En caso de brechas que no fueron seguidas por ataques obvios como ransomware (23% de todos los incidentes analizados), la mediana fue de 34 días. Las realidades pertenecientes al sector escolar o con menos de 500 empleados registraron tiempos de residencia aún mayores.

• Los tiempos de permanencia más prolongados y los puntos de acceso abiertos dejan a las empresas expuestas a múltiples ataques. Hubo evidencia de casos en los que la misma empresa fue objeto de ataques de múltiples adversarios como IAB, bandas especializadas en rsoftware de respuesta, criptomineros y, ocasionalmente, incluso operadores vinculados a múltiples ransomware.

• A pesar de una disminución en el uso del Protocolo de escritorio remoto (RDP) para acceso externo, los atacantes han aumentado su uso para fines de movimiento lateral interno. En 2020, el PDR se utilizó para actividades externas en el 32% de los casos analizados, la cifra se redujo al 13% en 2021. Si bien este cambio es bienvenido y sugiere una mejor gestión de las superficies de ataque externas por parte de las empresas, los ciberdelincuentes continúan abusando de RDP para sus movimientos laterales internos. Sophos encontró que el uso de RDP para movimientos laterales internos ocurrió en el 82% de los casos analizados en 2021 contra 69% de los 2020

• Las combinaciones comunes de herramientas utilizadas para atacar son una señal de advertencia de actividad no deseada. Por ejemplo, los análisis de incidentes de seguridad encontraron que se observaron scripts en 2021 Scripts maliciosos de PowerShell y que no son de PowerShell juntos el 64% del tiempo; PowerShell y Cobalt Strike juntos en un 56 % de los casos; Y PowerShell y PsExec juntos en el 51% de los casos. La detección de dichas correlaciones puede servir como advertencia temprana de un ataque inminente o como confirmación de un ataque en curso.

• El 50 % de los incidentes de ransomware observados involucraron la exfiltración de datos y, con los datos disponibles, el intervalo promedio entre el robo de datos y la activación del ransomware fue de 4,28 días. El 73% de los incidentes en los que intervino Sophos en 2021 fueron casos de ransomware. De estos, el 50% también implicó la exfiltración de datos. La exfiltración suele ser la última etapa de un ataque antes de que se active el ransomware, y los análisis de incidentes calcularon un intervalo promedio entre los dos eventos de 4,28 días con una mediana de 1,84 días.

• Cuentas era la pandilla ransomware más prolífico entre los observados en 2021, responsable del 18% de los incidentes generales. el ransomware Malvado involucró 1 de cada 10 incidentes, mientras que otras familias de ransomware generalizadas fueron Darkside, la RaaS culpable del ataque al Oleoducto Colonial en EE.UU., e reino negro, una de las "nuevas" familias de ransomware que apareció en marzo de 2021 a raíz de la vulnerabilidad ProxyLogon. Se identificaron 41 operadores de ransomware diferentes en los 144 incidentes cubiertos por el análisis; de estos, 28 son grupos nuevos que surgieron por primera vez en 2021. Dieciocho bandas responsables de accidentes en 2020 desaparecieron de la lista de 2021

“Las señales que deberían alertar a los administradores de seguridad de TI incluyen la detección de una herramienta, una combinación de herramientas o actividades en un punto inesperado de la red o en un momento inesperado”, explica Shier. “Vale la pena recordar que puede haber momentos de poca o ninguna actividad, pero eso no significa que una empresa no haya sido pirateada. Es probable, por ejemplo, que haya muchas más infracciones de ProxyLogon o ProxyShell de las que se conocen actualmente, en las que se han instalado shells web y puertas traseras para obtener acceso persistente y que actualmente permanecen inactivas hasta que el acceso se utiliza o se revende a otros. Es necesario aplicar parches para corregir errores críticos, especialmente en software popular y, como prioridad, fortalecer la seguridad de los servicios de acceso remoto. Hasta que se cierren los puntos de entrada expuestos y se erradique todo lo que han hecho los atacantes para establecer y mantener el acceso, cualquiera podrá entrar con ellos, y probablemente lo hará”.

El estudio Sophos Active Adversary Playbook 2022 se basa en 144 incidentes ocurridos en 2021 en empresas de todos los tamaños y sectores comerciales ubicadas en los siguientes países: EE. UU., Canadá, Reino Unido, Alemania, Italia, España, Francia, Suiza, Bélgica, Países Bajos, Austria, Emiratos Árabes Unidos, Arabia Saudita, Filipinas, Bahamas, Angola y Japón.

Los sectores más representados son la industria (17 %), el comercio minorista (14 %), la salud (13 %), las tecnologías de la información (9 %), la construcción (8 %) y la educación (6 %).

El objetivo del informe de Sophos es ayudar a los administradores de ciberseguridad a comprender qué hacen sus adversarios durante los ataques y cómo detectar y protegerse de la actividad maliciosa que circula en la red. Para obtener más información sobre los comportamientos, las herramientas y las técnicas de los ciberdelincuentes, consulte Sophos Active Adversary Playbook 2022 en Sophos News.