El análisis detallado de los ataques reales a empresas revela una nueva estafa utilizada por los ciberdelincuentes para encubrir la duración de su estancia y frustrar así una rápida respuesta defensiva. El nuevo Informe Adversario Activo de Sophos revela los trucos utilizados por los ciberdelincuentes.
Sophos ha publicado su nuevo Informe de adversario activo. Particularmente llamativo: en el 42 por ciento de los ataques analizados faltaban los protocolos telemétricos y en el 82 por ciento de estos casos, los delincuentes desactivaron o eliminaron activamente los datos de telemetría para ocultar sus ataques. Además, la duración de la estancia en el sistema secuestrado sigue disminuyendo, continuando la tendencia del último informe.
Informe de adversario activo
"Adversario activo" es un término técnico que describe el tipo de estrategia de ataque a un sistema. A diferencia de los ataques puramente técnicos y automatizados, en este tipo de ataques entra en juego el factor humano: los ciberdelincuentes se sientan activamente frente al teclado y reaccionan individualmente a las circunstancias de un sistema infiltrado. Estos viajes sigilosos se ven respaldados además por lagunas en la telemetría, ya que reducen la visibilidad necesaria en las redes y sistemas. Un gran problema, sobre todo porque el tiempo que tardan los atacantes, desde el acceso inicial hasta la detección, disminuye continuamente y, por tanto, el tiempo de reacción defensiva también es más corto.
“El tiempo es el factor crítico para responder a una amenaza activa. La fase entre el descubrimiento del acceso inicial y la completa calma de la situación debería ser lo más corta posible. Cuanto más avanzan los delincuentes en la cadena de ataque, más problemas vemos en el centro de defensa. La falta de datos de telemetría aumenta el tiempo de recuperación, algo que la mayoría de las organizaciones no pueden permitirse. Por eso es muy importante un registro completo y preciso. "Pero vemos que con demasiada frecuencia las organizaciones no tienen los datos que realmente necesitan", dice John Shier, CTO de campo de Sophos, sobre el problema de la telemetría.
En el sistema durante menos de cinco días: los ataques rápidos de ransomware alcanzan el 38 por ciento
En el Informe Active Adversary, Sophos clasifica los ataques de ransomware que duran hasta cinco días como "ataques rápidos". En los casos examinados hubo un 38 por ciento de estos casos. Los “ataques lentos” son aquellos que a veces duran mucho más de cinco días. Había un 62 por ciento de ellos. Aunque los ataques "rápidos" son cada vez menos frecuentes, su proporción en el panorama general aumenta constantemente, y por una razón: los atacantes reaccionan a los mejores métodos de detección en las empresas, que les dejan menos tiempo y los ciberdelincuentes ahora también son muy hábiles. . "Como ocurre con cualquier proceso, la repetición y la práctica tienden a producir mejores resultados", dice John Shier. “El ransomware moderno cumple diez años este año, un tiempo largo con muchos ejemplos para convertir cada vez a más delincuentes en expertos. Un acontecimiento aún más peligroso cuando muchas estrategias de defensa no pudieron seguir el ritmo”.
Al examinar los tipos rápido y lento, hubo poca variación en las herramientas, técnicas y LOLBins (binarios que viven fuera de la tierra) que utilizan los atacantes. Esto sugiere que los defensores del sistema atacado no necesitan reinventar sus estrategias de defensa a medida que disminuye el tiempo de permanencia. Sin embargo, las empresas deben ser conscientes de que los ataques rápidos y la falta de telemetría pueden obstaculizar los tiempos de respuesta rápidos y, posteriormente, provocar una interrupción significativamente mayor de las operaciones comerciales.
Nuevas medidas defensivas no son absolutamente necesarias
“Los ciberdelincuentes son vagos, sólo hacen cambios si eso les permite lograr mejor su objetivo. Los atacantes no cambian lo que está sucediendo, incluso si eso significa que son descubiertos más rápidamente después de la infiltración. Esta es una buena noticia para las organizaciones porque no tienen que cambiar radicalmente su estrategia defensiva sólo porque los atacantes están poniendo el turbo en marcha. Las medidas defensivas que detectan ataques rápidos son efectivas para todos los ataques, independientemente del momento. Esto también incluye telemetría completa, protección sólida para todas las áreas y monitoreo omnipresente”, señala Shier. “La clave es aumentar la resistencia. Si se lo pones más difícil a los atacantes y prolongas cada fase del ataque, tendrás más tiempo para reaccionar.
El Informe Adversario Activo de Sophos se basa en 232 casos de respuesta a incidentes desde el 1 de enero de 2022 hasta el 30 de junio de 2023 en 25 industrias. Las organizaciones afectadas estaban ubicadas en 34 países diferentes en seis continentes. El 83 por ciento de los casos afectaron a empresas con menos de 1.000 empleados. El informe proporciona información procesable sobre cómo los profesionales de la seguridad pueden diseñar de manera óptima sus estrategias defensivas.
Más en Sophos.com
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.