Kaspersky informa: En el 25 por ciento de los ciberataques en Europa, los ciberdelincuentes hacen un mal uso de las herramientas legítimas para sus actividades posteriores. En su mayoría, utilizan vulnerabilidades de programas como puertas de enlace a la red corporativa o herramientas de acceso remoto para robar datos. El 11,1 por ciento de las respuestas a incidentes en Europa provienen de Alemania; 25,9 por ciento de Suiza.
Ya sean instituciones financieras o empresas de telecomunicaciones, industria, transporte y logística, las organizaciones europeas de todos los sectores tienen que enfrentarse a los ataques cibernéticos. Casi una cuarta parte (24 por ciento) de las respuestas a incidentes analizadas por Kaspersky en todo el mundo el año pasado se referían a Europa, que ocupa el segundo lugar después de Medio Oriente (32,6 por ciento). Con mayor frecuencia, los archivos sospechosos (36,2 por ciento), los datos ya encriptados (21,3 por ciento) o la actividad sospechosa en los puntos finales (10,6 por ciento) desencadenaron una respuesta a incidentes en las empresas. El problema con esto: la mitad de los incidentes solo se descubren después de unas pocas semanas, por lo que el daño ya está hecho. Además, una cuarta parte de los incidentes de seguridad están relacionados con herramientas legítimas de gestión y acceso remoto, que las soluciones de seguridad tienen dificultades para detectar como ataques y son populares en la era del trabajo desde casa.
Los ataques cibernéticos a veces solo se hacen evidentes en una etapa tardía
Por un lado, las empresas reconocen los ciberataques por efectos negativos perceptibles como datos cifrados, pérdida de dinero o filtración de datos, así como por las advertencias que reciben de sus soluciones de seguridad. Al analizar las respuestas a incidentes en Europa, los expertos de Kaspersky descubrieron que en más de un tercio (35,3 %) de los casos, las vulnerabilidades de los programas explotados eran la puerta de entrada a la red corporativa. Se identificaron los siguientes vectores de ataque iniciales:
- correos electrónicos maliciosos (29,4 por ciento),
- soportes de datos externos (11,8 por ciento),
- Explotación de vulnerabilidades debido a errores de configuración (11,8 por ciento),
- datos de acceso filtrados (5,9 por ciento)
- y expertos (5,9 por ciento)
Se ven afectadas empresas de todos los sectores. Las respuestas a incidentes analizadas por Kaspersky provinieron de organizaciones en los campos de finanzas (25,4 por ciento), telecomunicaciones (16,9 por ciento), industria (16,9 por ciento) y transporte (13,6 por ciento). Aproximadamente una de cada doce respuestas a incidentes provino de las autoridades (8,5 por ciento).
Las herramientas de gestión y acceso remoto son un riesgo para las empresas
Una vez en la red, los atacantes abusaron de herramientas legítimas para causar daños en el 25 por ciento de las respuestas a incidentes analizadas. En realidad, los utilizan los administradores de red y de TI para, entre otras cosas, solucionar problemas y brindar soporte técnico a los empleados. Sin embargo, permite a los ciberdelincuentes ejecutar procesos en puntos finales, acceder y extraer información confidencial, eludiendo varios controles de seguridad utilizados para detectar malware.
Al analizar las respuestas a los incidentes, los expertos de Kaspersky pudieron identificar 18 herramientas legítimas diferentes que los atacantes utilizaron indebidamente con fines maliciosos. La mitad de los casos analizados en Europa (50 por ciento) usaron la poderosa herramienta de administración PowerShell, que se puede usar para muchos propósitos, desde recopilar información hasta ejecutar malware, y PsExec, que se usa para iniciar procesos en puntos finales remotos. SoftPerfect Network Scanner, utilizado para obtener información sobre entornos de red, en el 37,5 por ciento de los ataques.
El software legítimo ofusca los ataques
"Para evitar ser detectados y permanecer invisibles en una red comprometida durante el mayor tiempo posible, los atacantes suelen utilizar software diseñado para las actividades normales de los usuarios, las tareas del administrador y los diagnósticos del sistema", explica Konstantin Sapronov, director del equipo de respuesta ante emergencias globales de Kaspersky. “Estas herramientas permiten a los atacantes recopilar y mover información sobre redes corporativas, cambiar la configuración del software y el hardware, o incluso realizar acciones maliciosas; podrían usar software legítimo para cifrar los datos de los clientes. El software legítimo puede ayudar a los atacantes a mantenerse fuera del radar de los analistas de seguridad, ya que a menudo solo detectan el ataque después de que se ha producido el daño. No es posible excluir estas herramientas por muchas razones. Sin embargo, los sistemas de registro y monitoreo implementados correctamente ayudan a detectar actividades sospechosas en la red y ataques sofisticados en etapas anteriores”.
Las empresas deben considerar implementar una solución de detección y respuesta de punto final con un servicio MDR para detectar y responder a dichos ataques de manera oportuna. MITRE ATT&CK® Round 2 Evaluation [2], que evaluó varias soluciones como Kaspersky EDR y Kaspersky Managed Protection Service, puede ayudar a las organizaciones a seleccionar productos EDR que satisfagan sus necesidades. Los resultados de la evaluación de ATT&CK demuestran la importancia de una solución integral que combine un producto de seguridad de múltiples capas totalmente automatizado y un servicio manual de búsqueda de amenazas.
Consejos de protección de Kaspersky para empresas
- Restrinja el acceso a las herramientas de administración remota desde direcciones IP externas y asegúrese de que las interfaces de control remoto solo sean accesibles desde una cantidad limitada de puntos finales.
- Aplique una política estricta de contraseñas para todos los sistemas de TI y el uso de autenticación multifactor.
- Ofrezca a los empleados privilegios limitados y otorgue cuentas de alto privilegio solo a aquellos que lo necesiten para hacer su trabajo.
- Instalación de una solución de seguridad dedicada como Kaspersky Endpoint Security for Business [3] en todos los puntos finales de Windows, Linux y MacOS. Esto permite la protección contra amenazas cibernéticas conocidas y desconocidas y ofrece una variedad de opciones de control de seguridad cibernética para cada sistema operativo.
- Proporcione a los equipos de SOC acceso a la inteligencia de amenazas más reciente a través de inteligencia de amenazas [4], para que se mantenga actualizado sobre las herramientas, técnicas y tácticas de los actores de amenazas.
- Creación regular de copias de seguridad de todos los datos comerciales relevantes. De esta forma, los datos importantes que han sido encriptados e inutilizados por el ransomware pueden restaurarse rápidamente.
Información adicional del Informe del analista de respuesta a incidentes de Kaspersky está disponible en línea.
Más información en Kaspersky.com
Acerca de Kaspersky Kaspersky es una empresa internacional de ciberseguridad fundada en 1997. La profunda inteligencia de amenazas y la experiencia en seguridad de Kaspersky sirven como base para soluciones y servicios de seguridad innovadores para proteger empresas, infraestructura crítica, gobiernos y consumidores en todo el mundo. La cartera de seguridad integral de la empresa incluye una protección líder para puntos finales y una variedad de soluciones y servicios de seguridad especializados para defenderse contra amenazas cibernéticas complejas y en constante evolución. Más de 400 millones de usuarios y 250.000 XNUMX clientes corporativos están protegidos por las tecnologías de Kaspersky. Más información sobre Kaspersky en www.kaspersky.com/