El tiempo medio de los atacantes en las redes corporativas aumenta un 36% en 2021
Así lo atestigua un informe de Sophos, que pone de relieve que la media de permanencia fue de 15 días frente a los 11 de 2020.
Los ciberatacantes pasan cada vez más tiempo de media en las redes de sus víctimas. Así lo atestigua el estudio de Sophos Active Adversary Playbook 2022 que pone de relieve que durante el año pasado su estancia aumentó un 36%, con una media de permanencia de 15 días frente a los 11 de 2020. En muchos casos, estos movimientos laterales y vigilancia de los intrusos derivan en ransomware, que sigue siendo el rey de las ciberamenazas. Pero sus técnicas han cambiado, tal y como explica John Shier, asesor senior de seguridad de la compañía, a CSO. Una novedad relevante, dice, ha sido la aparición y proliferación de los agentes de acceso inicial (IAB, de sus siglas inglesas). “Los grupos de cibercriminales se especializan en obtener estos accesos, conservarlos y venderlos luego a otros delincuente”. Así, en el extremo de la cadena de ataque, los equipos de Ransomware as a Service (RaaS) proporcionan infraestructuras a delincuentes no cualificados, lo que democratiza la amenaza.
De este modo, avisa el informe, las dos formas principales a través de las cuales los delincuentes obtuvieron acceso a las redes de las víctimas fueron el acceso de servicios remotos (50%) y la explotación de vulnerabilidades (36%). En el primer caso, expresa el experto, “hemos visto un uso intensivo de cuentas válidas que inician sesión en servicios externos como las VPN”. En el segundo, hay brechas fáciles de explotar, como ProxyShell de Microsoft Exchange y ProxyLogon.
Otro dato a resaltar es que el 50% de los incidentes de ransomware implicaron una filtración de datos confirmada y, con los datos disponibles, el intervalo medio entre el robo de información y el despliegue del ataque fue de 4,28 días. Por otra parte, el 73% de los incidentes a los que Sophos respondió durante el ejercicio pasado incluían ransomware. De estos, el 50% también implicó filtración de datos. Por su parte, Conti fue el grupo más observado, representando el 18% de los incidentes en general. Y Revil representó una de cada 10 amenazas.
Para Shier, la receta contra este escenario es “utilizar una combinación de herramientas de prevención y detección con deep learning e inteligencia artificial (IA) tanto en la red como en cada dispositivo”. Asimismo, la concienciación es un imperativo en toda organización: “Una cultura de seguridad sólida es primordial en el entorno actual de amenazas, y esto va más allá de la concienciación. Esto sirve como segunda línea de defensa frente a amenazas como los ataques de ingeniería social. Establecer una cultura de seguridad sólida dentro de la empresa garantizará que todo el mundo, desde el director hacia todos los empleados, sepa por qué la ciberseguridad es esencial y cómo informar de los incidentes”, concluye.
