El nivel de abuso del Protocolo de Escritorio Remoto (RDP) no tiene precedentes desde el lanzamiento del informe en 2020
Los servicios remotos externos fueron la principal forma en que los atacantes inicialmente violaron las redes
Sophos, líder mundial en soluciones de seguridad innovadoras que derrotan ciberataques, publicó hoy el análisis de Adversarios Activos, "It's Oh So Quiet (?): El Informe de Sophos sobre Adversarios Activos para el primer semestre de 2024". El informe, que analiza más de 150 casos de respuesta a incidentes (IR) gestionados por el equipo Sophos X-Ops IR en 2023, descubrió que los ciberdelincuentes abusaron del protocolo de escritorio remoto (RDP) -un método común para establecer acceso remoto en sistemas Windows- en el 90% de los ataques. Esta fue la incidencia más alta de abuso de RDP desde que Sophos comenzó a publicar sus informes de Adversarios Activos en 2021, cubriendo datos desde 2020.
Además, los servicios remotos externos como RDP fueron el vector más común por el cual los atacantes violaron inicialmente las redes; fueron el método de acceso inicial en el 65% de los casos de IR en 2023. Los servicios remotos externos han sido consistentemente la fuente más frecuente de acceso inicial para los ciberdelincuentes desde que se lanzaron los informes de Adversarios Activos en 2020, y los responsables de ciberseguridad en las empresas deben considerar esto como una clara señal para priorizar la gestión de estos servicios al evaluar el riesgo empresarial.
"Los servicios remotos externos son un requisito necesario, pero arriesgado, para muchas empresas. Los atacantes comprenden los riesgos que estos servicios plantean y activamente buscan socavarlos debido a la gran recompensa que hay más allá. La utilización de servicios remotos externos sin una consideración cuidadosa y sin mitigación de sus riesgos inevitablemente conduce a vulnerabilidades. Un atacante no tarda mudo en encontrar y vulnerar un servidor RDP expuesto, y sin controles adicionales, tampoco lleva mucho tiempo encontrar el servidor de Active Directory que espera al otro lado", dijo John Shier, CTO de campo de Sophos.
En un caso de un cliente de Sophos X-Ops, los ciberdelincuentes lograron vulnerar a la víctima cuatro veces en seis meses, cada vez obteniendo acceso inicial a través de los puertos RDP expuestos del cliente. Una vez dentro, los atacantes continuaron moviéndose lateralmente por las redes del cliente, descargando binarios maliciosos, desactivando la protección de endpoints y estableciendo acceso remoto.
Las contraseñas comprometidas y la explotación de vulnerabilidades siguen siendo las dos causas más comunes de los ataques. Sin embargo, el informe 2023 Active Adversary Report for Tech Leaders, publicado en agosto pasado, reveló que en la primera mitad de ese año, por primera vez, las contraseñas comprometidas superaron a las vulnerabilidades como causa raíz más frecuente de los ataques. Esta tendencia continuó durante el resto de 2023, con las contraseñas vulneradas representando la causa raíz de más del 50% de los casos de IR durante todo el año. Cuando se observan los datos de Active Adversary de forma acumulativa a lo largo de los años 2020 a 2023, las contraseñas comprometidas también fueron la causa raíz número uno "de todos los tiempos" de los ataques, involucradas en casi un tercio de todos los casos de IR. Sin embargo, a pesar de la prevalencia histórica de contraseñas vulneradas en los ciberataques, en el 43% de los casos de IR en 2023, las organizaciones no tenían configurada la autenticación multifactor.
La explotación de vulnerabilidades fue la segunda causa raíz más común de los ataques, tanto en 2023 como al analizar los datos acumulados de 2020 a 2023, representando la causa raíz en el 16% y el 30% de los casos de IR, respectivamente.
"Gestionar el riesgo es un proceso activo. Las organizaciones que lo hacen bien experimentan mejores situaciones de seguridad que las que no lo hacen ante las continuas amenazas de determinados cibercriminales. Un aspecto importante de la gestión de los riesgos de seguridad, más allá de identificarlos y priorizarlos, es actuar en función de la información. Sin embargo, durante demasiado tiempo, ciertos riesgos como el RDP abierto siguen afectando a las organizaciones, para deleite de los atacantes que pueden entrar por la puerta principal de una organización. Asegurar la red reduciendo los servicios expuestos y vulnerables y reforzando la autenticación hará que las organizaciones sean más seguras en general y más capaces de derrotar ciberataques", dijo Shier.
El informe de Adversarios Activos de Sophos para el primer semester de 2024 se basa en más de 150 investigaciones de respuesta a incidentes (IR) que abarcan 26 sectores de todo el mundo. Las organizaciones objetivo se encuentran en 23 países diferentes, incluyendo Estados Unidos, Canadá, México, Colombia, Reino Unido, Suecia, Suiza, España, Alemania, Polonia, Italia, Austria, Bélgica, Filipinas, Singapur, Malasia, India, Australia, Kuwait, Emiratos Árabes Unidos, Arabia Saudí, Sudáfrica y Botsuana.
Para obtener más información sobre el panorama actual de los adversarios, lea "It’s Oh So Quiet (?): El Informe de Adversarios Activos de Sophos para 1S 2024" en Sophos.com.