Digital
Las causas raíz más comunes de los ataques fueron vulnerabilidades sin parches y credenciales comprometidas, mientras que el ransomware, el cual impide acceder al sistema o a los datos personales, sigue siendo el más común.
Esta semana se dio a conocer el Informe Adversario Activo para Líderes Empresariales, con el fin de entregar una mirada profunda sobre los comportamientos cambiantes y las técnicas que ciberdelicuentes utilizaron en 2022.
En este contexto, se identificaron más de 500 herramientas y técnicas únicas, incluidos 118 archivos binarios “Living off the Land” (LOLBins).
A diferencia del malware, los LOLBins son ejecutables que se encuentran naturalmente en los sistemas operativos, lo que los hace mucho más difíciles de bloquear para los defensores cuando los atacantes los explotan para actividades maliciosas.
El estudio hecho por Sophos, además descubrió que las vulnerabilidades sin parchear eran la causa principal más común de que los atacantes obtuvieran acceso inicial a los sistemas objetivo.
De hecho, en la mitad de las investigaciones incluidas en el informe, los atacantes explotaron las vulnerabilidades de ProxyShell y Log4Shell, vulnerabilidades de 2021, para infiltrarse en las organizaciones. La segunda causa raíz más común de los ataques fueron las credenciales comprometidas.
“La realidad es que el entorno de amenazas ha crecido en volumen y complejidad hasta el punto en que no hay brechas perceptibles para que los defensores exploten”, dijo John Shier, CTO de campo de Sophos.
Más de dos tercios de los ataques que investigó el equipo involucraron ransomware, lo que demuestra que el ransomware sigue siendo una de las amenazas más generalizadas para las empresas. El ransomware también representó casi las tres cuartas partes de las investigaciones de IR de Sophos en los últimos tres años.
Si bien el ransomware aún domina el panorama de amenazas, el tiempo de permanencia del atacante disminuyó en 2022, de 15 a 10 días, para todos los tipos de ataque.
Para los casos de ransomware, el tiempo de permanencia disminuyó de 11 a 9 días, mientras que la disminución fue aún mayor para los ataques sin ransomware.
El tiempo de permanencia para este último disminuyó de 34 días en 2021 a solo 11 días en 2022. Sin embargo, a diferencia de años anteriores, no hubo una variación significativa en los tiempos de permanencia entre organizaciones o sectores de diferentes tamaños.
“Las organizaciones que han implementado con éxito defensas en capas con monitoreo constante obtienen mejores resultados en términos de gravedad de los ataques”, afirmó el experto.
Agregó que “el efecto secundario de las defensas mejoradas significa que los adversarios tienen que acelerar para completar sus ataques. Por lo tanto, los ataques más rápidos requieren una detección más temprana”.
El Informe se basó en 152 investigaciones de respuesta a incidentes (IR) en todo el mundo en 22 sectores.
Las organizaciones objetivo estaban ubicadas en 31 países diferentes, incluidos EE. UU. y Canadá, el Reino Unido, Alemania, Suiza, Italia, Austria, Finlandia, Bélgica, Suecia, Rumania, España, Australia, Nueva Zelanda, Singapur, Japón, Hong Kong, India, Tailandia, Filipinas, Qatar, Baréin, Arabia Saudita, Emiratos Árabes Unidos, Kenia, Somalia, Nigeria, Sudáfrica, México, Brasil y Colombia.
Los sectores más representados son la fabricación (20 %), seguido de la sanidad (12 %), la educación (9 %) y el comercio minorista (8 %).
