Site icon Sophos News

Active Adversary Playbook 2022

Sophos, líder mundial en ciberseguridad de última generación, publica en informe “Active Adversary Playbook 2022”, en el que se detallan los comportamientos de los atacantes que el equipo de Rapid Response de Sophos observó durante 2021. Los resultados muestran un aumento del 36% en el tiempo de permanencia en la red de la víctima, con una media de permanencia del intruso de 15 días en 2021 frente a los 11 de 2020. El informe también revela el impacto de las vulnerabilidades de ProxyShell en Microsoft Exchange, que según estiman desde Sophos podrían haber sido aprovechadas por algunas herramientas de acceso ilegítimas conocidas como Initial Access Brokers (IABs), para violar las redes y luego vender ese acceso a otros ciberatacantes.

“El mundo de la ciberdelincuencia se ha vuelto increíblemente diverso y especializado. Los IABs han desarrollado una industria de cibercrimen artesanal al penetrar en una red objetivo, hacer un reconocimiento exploratorio o instalar una puerta trasera, para luego vender el acceso llave en mano a las bandas de ransomware para sus propios ataques”, explica John Shier, asesor senior de seguridad de Sophos. “En este panorama de ciberamenazas, cada vez más dinámico y especializado, puede ser difícil para las empresas mantenerse al día con las herramientas y enfoques que utilizan los atacantes y que están en constante evolución. Es vital que los responsables de seguridad entiendan qué es lo que tienen que buscar en cada etapa de la cadena de un ataque, para que puedan detectar y neutralizar los ataques lo más rápido posible.”

La investigación de Sophos también muestra que el tiempo de permanencia de los intrusos fue mayor en los entornos de las empresas más pequeñas. Los atacantes permanecieron aproximadamente 51 días en las redes de compañías con hasta 250 empleados, mientras que normalmente pasaron 20 días en aquellas con entre 3.000 y 5.000 trabajadores.

“Los atacantes consideran que las empresas más grandes son más valiosas, por lo que están más motivados para entrar, conseguir lo que quieren y salir. Por el contrario, las compañías más pequeñas tienen menos “valor” percibido, por lo que los atacantes pueden permitirse merodear por la red en segundo plano durante más tiempo. También es posible que estos ciberatacantes tuvieran menos experiencia y necesitaran más tiempo para averiguar qué hacer una vez que estuvieran dentro de la red. Por último, las empresas más pequeñas suelen tener menos visibilidad de la cadena completa del ataque para detectar y expulsar a los atacantes, lo que prolonga su presencia”, comenta Shier. “Con las oportunidades que ofrecen las vulnerabilidades ProxyLogon y ProxyShell sin parchear y el aumento de los IAB, estamos viendo más evidencias de la presencia de múltiples atacantes en un solo objetivo. Si hay mucha gente dentro de una misma red, los atacantes querrán moverse rápido para superar a su competencia”.

Algunas de las conclusiones principales presentadas en el Active Adversary Playbook 2022 son:

“Las red flags a las que los responsables de seguridad deben prestar atención incluyen la detección de una herramienta legítima, una combinación de herramientas o una actividad en un lugar inesperado o en un momento poco común”, afirma Shier. “Cabe destacar que también puede haber momentos de poca o nula actividad, pero eso no significa que una compañía no haya sido vulnerada. Por ejemplo, es probable que haya muchas más brechas ProxyLogon o ProxyShell que actualmente se desconocen, en las que se han implantado web shells y backdoors en los objetivos para obtener un acceso permanente y que ahora están silenciadas hasta que ese acceso se utiliza o se vende. Los responsables de seguridad deben estar atentos a cualquier señal sospechosa e investigarla inmediatamente. Tienen que parchear los errores críticos, especialmente los del software que más utilicen, y, como prioridad, deben reforzar la seguridad de los servicios de acceso remoto. Hasta que se cierren los puntos de entrada expuestos y se erradique por completo todo lo que los atacantes han hecho para establecer y mantener el acceso, casi cualquiera puede entrar tras ellos, y probablemente lo hará”.

El Sophos Active Adversary Playbook 2022 se basa en 144 incidentes ocurridos en 2021, dirigidos a empresas de todos los tamaños, en una amplia gama de sectores de la industria, y ubicados en Estados Unidos, Canadá, Reino Unido, Alemania, Italia, España, Francia, Suiza, Bélgica, Países Bajos, Austria, Emiratos Árabes Unidos, Arabia Saudita, Filipinas, Bahamas, Angola y Japón. Los sectores más representados son el sector industrial (17%), seguido del retail (14%), la sanidad (13%), el sector TI (9%), la construcción (8%) y la educación (6%).

El objetivo del informe de Sophos es ayudar a los equipos de seguridad a entender qué hacen los adversarios durante los ataques y cómo detectar y defenderse de la actividad maliciosa en la red. Para saber más sobre los comportamientos, herramientas y técnicas de los atacantes, consulta el Sophos Active Adversary Playbook 2022 en Sophos News.

Recursos adicionales

Exit mobile version