El ransomware sigue siendo el escenario de “juego final” más común en un ataque cibernético, y representa el 68,4 % de todos los incidentes a los que respondió el equipo de respuesta a incidentes (IR) de Sophos X-Ops en 2022, según datos extraídos de la última versión del proveedor. Informe de adversario activo para líderes empresarialesuna mirada en profundidad a las técnicas de ataque en evolución y los comportamientos de los actores de amenazas.
Aunque la tasa de crecimiento exponencial de los ataques de ransomware observados en los últimos años disminuyó un poco el año pasado, por varias razones, entre ellas el impacto de la guerra de Ucrania en el ecosistema criminal de Rusia, sigue siendo mucho más común que todas las demás formas de ataques. , según Sophos. En comparación, el segundo tipo de incidente más común (infracciones de red simples sin un elemento de ransomware) representó solo el 18,4 % de los incidentes.
Sophos dijo que el ransomware siempre ocuparía un lugar destacado en las estadísticas generales, dado que es una forma de ataque cibernético perturbadora, ruidosa y visible, y requiere una gran cantidad de ayuda experta. El equipo de X-Ops también señaló que muchas de las violaciones de la red a las que respondieron no tenían un motivo claro, por lo que bien podrían haberse convertido en incidentes de ransomware si hubieran seguido su curso.
En otros lugares, el 4 % de las respuestas de X-Ops se relacionaron con incidentes de exfiltración de datos y el 2,6 % con extorsión de datos, generalmente características de un incidente de ransomware, pero que los actores de amenazas utilizan cada vez más como tácticas sin cifrar los datos; 3,3% relacionado con el despliegue de cargadores de malware; el 2,6% al despliegue de web shells; y 0,7% al despliegue de criptomineros ilícitos.
“La variedad de diferentes tipos de ataques en los datos de este año mostró un ligero aumento”, escribió el autor del informe, John Shier, director de tecnología de campo para el negocio comercial de Sophos. “Puede ser que esta diversidad se deba a que los atacantes no logran sus objetivos finales. Más empresas están adoptando tecnologías como EDR [Endpoint Detection and Response]NDR [Network Detection and Response] y XDR [Extended Detection and Response]o servicios como MDR [Managed Detection and Response]todo lo cual les permite detectar problemas antes.
“Los ataques más rápidos requieren una detección más temprana. La carrera entre atacantes y defensores seguirá aumentando y quienes no tengan un seguimiento proactivo sufrirán las mayores consecuencias”.
John Shier, Sophos
“Esto, a su vez, significa que pueden detener un ataque en curso y expulsar a los intrusos antes de que se logre el objetivo principal, o antes de que otro intruso más maligno encuentre una brecha de protección ubicada primero por un adversario menor. Si bien un minero de monedas o un caparazón web en su red aún no es aceptable, es mucho mejor detectar y remediar amenazas como estas antes de que se conviertan en ataques de ransomware en toda regla, o exfiltración, extorsión o una violación denunciable “, dijo. observado.
Quizás relacionado con esto, el equipo de X-Ops observó disminuciones en los tiempos promedio de permanencia de los atacantes en todos los ámbitos, de 11 días en 2021 a nueve días en 2022 en incidentes de ransomware, y de 34 días a 11 días en otros, en el mismo período de tiempo.
Shier postuló que esto nuevamente estaba relacionado con una postura defensiva efectiva. “Las organizaciones que han implementado con éxito defensas en capas con monitoreo constante están viendo mejores resultados en términos de gravedad de los ataques, [but] el efecto secundario de las defensas mejoradas significa que los adversarios tienen que acelerar para completar sus ataques”, dijo.
“Por lo tanto, los ataques más rápidos requieren una detección más temprana. La carrera entre atacantes y defensores continuará escalando y aquellos sin un monitoreo proactivo sufrirán las mayores consecuencias”.
Iniciar sesión, no interrumpir
Los datos más recientes del equipo de X-Ops también revelan una idea de cómo los actores de amenazas acceden a las redes de sus víctimas para empezar, y qué más están haciendo una vez que están dentro.
El equipo descubrió que las vulnerabilidades sin parchear eran el método de acceso más común: la mitad de las investigaciones de X-Ops en 2022 involucraron la explotación de las vulnerabilidades de Log4Shell y ProxyShell. La siguiente causa raíz más común de los ataques fueron las credenciales comprometidas; como dijo Shier, “cuando los atacantes de hoy no están ingresando, están iniciando sesión”. A esto le siguieron métodos de acceso desconocidos, lo que es preocupante porque cuando los equipos de IR no pueden identificar la causa raíz, la reparación se vuelve mucho más difícil: el uso de documentos maliciosos, ataques de fuerza bruta y phishing.
En el curso de su trabajo diario, el equipo también identificó 524 herramientas y técnicas únicas que utilizan los actores de amenazas. Entre ellas se encontraban 204 herramientas ofensivas o de piratería, siendo el marco de trabajo posterior a la explotación de Cobalt Strike la más popular, seguida de AnyDesk, mimikatz, Network Scanner de SoftPerfect, Advanced IP Scanner y TeamViewer.
Además, X-Ops encontró casi 120 binarios living-off-the-land (LOLBins), que son ejecutables legítimos que ocurren “naturalmente” en los sistemas operativos y luego son cooptados por actores malintencionados. Esto hace que sea considerablemente más difícil para los equipos de seguridad detectarlos y bloquearlos. PowerShell abrió el camino en términos de uso de LOLBin, seguido de cmd.exe, PSExec, Task Scheduler y net.exe. La explotación del Protocolo de escritorio remoto (RDP) también cuenta como LOLBIn, pero se excluyó del muestreo debido a su “ubicuidad absoluta”.
En general, Sophos advierte que dada la amplia diversidad de opciones en juego, concentrarse en una de ellas no ayudará mucho: los equipos de seguridad realmente deberían tratar de limitar las herramientas que pueden estar presentes, limitar lo que pueden hacer, y auditar todo uso de los mismos. Por ejemplo, Cobalt Strike probablemente debería bloquearse siempre, pero se puede permitir cierto uso de TeamViewer de forma segura y muy controlada.
Del mismo modo, bloquear los LOLBins por completo no es útil, ya que algunos de ellos son esenciales para el funcionamiento diario: los equipos de seguridad harían mejor en desarrollar disparadores para que las herramientas de detección detecten la actividad que los involucra.
“La realidad es que el entorno de amenazas ha crecido en volumen y complejidad hasta el punto en que no hay brechas perceptibles para que los defensores las exploten”, dijo Shier.
“Para la mayoría de las organizaciones, los días de trabajar solos quedaron atrás. Realmente es todo, en todas partes, todo a la vez. Sin embargo, existen herramientas y servicios disponibles para las empresas que pueden aliviar parte de la carga defensiva, lo que les permite concentrarse en las prioridades comerciales principales”.
