Los administradores solo tienen una breve ventana de 15 minutos a 10 horas después de la notificación de nuevas vulnerabilidades de día cero para proporcionar actualizaciones de seguridad a sus sistemas, según muestra un estudio.
Los atacantes son cada vez más rápidos cuando se trata de explotar nuevas vulnerabilidades de día cero. Eso muestra uno Estudio de Palo Alto Networks, para el que se analizaron alrededor de 600 incidentes de seguridad. En promedio, solo toma 15 minutos después de que se informa una nueva vulnerabilidad de seguridad de día cero para que los delincuentes busquen activamente en Internet sistemas vulnerables. También tienen algunas de las vulnerabilidades de día cero más graves del año pasado, incluidas ProxyShell y ProxyLogon, Log4Shell, así como SonicWall y ADSelfService Plus de ManageEngine de Zoho Corp.
Las vulnerabilidades de día cero se escanean inmediatamente
Los investigadores de seguridad escriben en su informe que podían observar una mayor actividad de escaneo de sistemas vulnerables cada vez que se informaba una nueva vulnerabilidad, ¡y eso solo 15 minutos después! Esto es lo que sucedió con la vulnerabilidad crítica en el software Big-IP de F5, que se incluyó en mayo en el catálogo en constante crecimiento de vulnerabilidades explotadas activamente por la Agencia Estadounidense de Seguridad de Ciberseguridad e Infraestructura (CISA). Después de que se conociera el error, los investigadores de seguridad de Palo Alto observaron 10 escaneos en las siguientes 2.500 horas, que buscaban específicamente los sistemas afectados.
El estudio también muestra que el phishing sigue siendo la puerta de entrada más común para los piratas informáticos con un 37 por ciento, pero las debilidades en el software también son un riesgo grave y fueron responsables del primer acceso de los atacantes en el 31 por ciento de los casos. Los ataques de fuerza bruta, como la difusión de contraseñas, llegaron al XNUMX %, las credenciales comprometidas al XNUMX %, las amenazas internas y de ingeniería social al XNUMX % cada una y el abuso de relaciones o herramientas de confianza al XNUMX %.
Servidores Exchange sin parches como puerta trasera
Más del 87 por ciento de las vulnerabilidades que los piratas informáticos utilizaron para obtener acceso a los sistemas comprometidos cayeron en una de seis categorías. En el 55 por ciento de los casos en los que se solicitó ayuda a Palo Alto Networks, los errores de Exchange Server ProxyShell fueron los responsables de la penetración de los piratas informáticos. La vulnerabilidad estaba tan extendida que varios grupos de piratas informáticos, como el grupo de ransomware Hive, se han especializado en estas vulnerabilidades, aunque Microsoft lanzó parches a principios de 2021 que habrían solucionado los errores en ProxyShell y ProxyLogon. Log4j representó solo el 14 por ciento de los casos examinados por Palo Alto, seguido de las fallas en SonicWall con un 13 por ciento, ProxyLogon con un XNUMX por ciento, ManageEngine con un XNUMX por ciento y FortiNet con un XNUMX por ciento. Otras vulnerabilidades representaron el XNUMX por ciento restante.
Todo incluido: Conti, LockBit, ALPHV, BlackCat, BlackMatter
El análisis de solo los incidentes de seguridad relacionados con el ransomware mostró que el 22 por ciento de los casos se remontaba al Grupo Conti, seguido de LockBit 2.0 con un 14 por ciento. Otros actores de ransomware como Hive, Dharma, PYSA, Phobos, ALPHV/BlackCat, REvil y BlackMatter representaron cada uno menos del 10 por ciento de los ataques.
En resumen, los investigadores de seguridad advierten que los actores menos talentosos se están volviendo cada vez más activos en el campo del cibercrimen. Por un lado, esto podría atribuirse al número cada vez mayor de ofertas de Malware-as-a-Service en la dark web. Por otro lado, los informes de sumas elevadas de rescate después de los ataques de ransomware también juegan un papel importante. Combinado con las crecientes presiones económicas de una posible recesión global, cada vez más delincuentes ven su oportunidad de ganar mucho dinero. Sin embargo, a medida que el enjuiciamiento de tales bandas de piratas informáticos se vuelve cada vez más exitoso, los casos de compromisos de correo electrónico comercial también podrían aumentar, como advierten los autores del estudio.
Acerca de 8com El Centro de Ciberdefensa de 8com protege eficazmente las infraestructuras digitales de los clientes de 8com contra los ataques cibernéticos. Incluye gestión de eventos e información de seguridad (SIEM), gestión de vulnerabilidades y pruebas de penetración profesionales. Además, ofrece el desarrollo e integración de un Sistema de Gestión de Seguridad de la Información (SGSI) incluyendo la certificación según estándares comunes. Medidas de sensibilización, formación en seguridad y gestión de respuesta a incidentes completan la oferta.