Según el informe “Active Adversary Report for Business Leaders”, la causa más común del origen de los ataques fueron vulnerabilidades no parcheadas y credenciales comprometidas
El tiempo de permanencia -desde el inicio del ataque hasta su detección- ha pasado de 15 a 10 días
Sophos, líder mundial en innovación y entrega de ciberseguridad como servicio, publica el informe “Active Adversary Report for Business Leaders”, un análisis en profundidad sobre los comportamientos en constante evolución y las técnicas de ataque que los adversarios han utilizado durante el 2022. Los datos analizados por el equipo de Respuesta a Incidentes de Sophos (IR, por sus siglas en inglés) a partir de más de 150 casos, identificaron más de 500 herramientas y técnicas únicas, incluyendo 118 binarios "Living off the Land" (LOLBins). A diferencia del malware, los LOLBins son ejecutables que se encuentran de forma natural en los sistemas operativos, lo que los hace mucho más difíciles de bloquear para los equipos de seguridad cuando los atacantes los explotan para actividades maliciosas.
Además, Sophos ha descubierto que las vulnerabilidades sin parchear han sido la vía de acceso más común utilizada por los ciberatacantes para obtener el acceso inicial a los sistemas de las víctimas. De hecho, en la mitad de las investigaciones incluidas en el informe, los atacantes explotaron las vulnerabilidades ProxyShell y Log4Shell -vulnerabilidades identificadas desde 2021- para infiltrarse en las redes de las empresas. La segunda causa de los ataques más común fueron las credenciales comprometidas.
"Hoy en día, cuando los cibercriminales no están forzando el acceso a una red, simplemente están entrando directamente. La realidad es que el entorno de las amenazas ha crecido en volumen y complejidad hasta el punto de que no hay huecos perceptibles que los equipos de seguridad puedan aprovechar. Para la mayoría de las empresas, los días en los que podían protegerse por su cuenta han quedado atrás. Realmente es todo, en todas partes, todo a la vez. Sin embargo, hay herramientas y servicios a disposición de las empresas que pueden aliviar parte de la carga defensiva, permitiéndoles centrarse en las prioridades reales de su negocio”, explica John Shier, CTO de Sophos.
Más de dos tercios de los ataques que ha investigado el equipo de Respuesta a Incidentes de Sophos (68%) implicaban ransomware, lo que demuestra que este tipo de ataques sigue siendo una de las amenazas más generalizadas para las empresas. El ransomware también ha representado casi tres cuartas partes de los informes del equipo IR de Sophos en los últimos tres años.
Aunque el ransomware sigue dominando el panorama de las amenazas, el tiempo de permanencia de los atacantes se ha reducido en 2022, pasando de 15 a 10 días, para todos los tipos de ataque. En los casos de ransomware, el tiempo de permanencia se redujo de 11 a 9 días, mientras que la disminución ha sido aún mayor en los ataques sin ransomware. El tiempo de permanencia para estos últimos disminuyó de 34 días en 2021 a solo 11 días en 2022. Sin embargo, a diferencia de años anteriores, no ha habido variaciones significativas en los tiempos de permanencia investigados entre empresas de distinto tamaño o sectores.
"Las empresas que han implantado con éxito protección por capas con supervisión constante están obteniendo mejores resultados en cuanto a la gravedad de los ataques. El efecto secundario que provoca la mejora de las defensas implica que los adversarios tienen que aumentar la velocidad para completar sus ataques. Por lo tanto, los ataques más rápidos requieren también una detección más temprana. La carrera entre atacantes y defensores seguirá intensificándose y quienes no dispongan de una vigilancia proactiva sufrirán consecuencias mayores", afirma Shier.
El informe “Sophos Active Adversary Report for Business Leaders” se basa en 152 investigaciones del equipo de Respuesta a Incidentes (IR) que abarcan 22 sectores de todo el mundo. Las empresas atacadas se encontraban en 31 países diferentes, incluidos Estados Unidos y Canadá, Reino Unido, Alemania, Suiza, Italia, Austria, Finlandia, Bélgica, Suecia, Rumanía, España, Australia, Nueva Zelanda, Singapur, Japón, Hong Kong, India, Tailandia, Filipinas, Qatar, Bahréin, Arabia Saudí, Emiratos Árabes Unidos, Kenia, Somalia, Nigeria, Sudáfrica, México, Brasil y Colombia. Los sectores con mayor presencia en el informe son el sector industrial (20%), seguido del sector sanitario (12%), la educación (9%) y el retail (8%).
El informe Sophos Active Adversary Report for Business Leaders proporciona a las empresas información práctica sobre amenazas y los conocimientos necesarios para optimizar las estrategias de seguridad y las defensas.
Para obtener más información sobre los comportamientos, herramientas y técnicas de los atacantes, está disponible el informe Sophos Active Adversary Report for Business Leaders en Sophos.com.