La explotación de apps libres, vector inicial del 53,6% de los ataques en 2021

Recomendados:  Protegiendo el perímetro. Foro IT Digital Security. 25 y 26 octubre. Registro Digitalización y Seguridad, motor de innovación del sector financiero Informe

El último informe de análisis de respuesta a incidentes de Kaspersky sostiene que la explotación de las aplicaciones libres, accesibles tanto desde la red interna como desde Internet, se ha convertido en el vector inicial más utilizado para penetrar en el perímetro de una organización. Basándose en datos anónimos gestionados por su Equipo Global de Respuesta a Emergencias, concluye que la utilización de este método como vector de ataque inicial ha aumentado del 31,5% en 2020 al 53,6% en 2021, mientras que el uso de cuentas comprometidas y correos electrónicos maliciosos ha disminuido del 31,6% al 17,9%, y del 23,7% al 14,3%, respectivamente. "Este cambio probablemente está ligado a las vulnerabilidades descubiertas en los servidores Microsoft Exchange el año pasado. La ubicuidad de este servicio de correo y la disponibilidad pública de los exploits para estas vulnerabilidades han dado lugar a un gran número de incidentes relacionados", aclara el análisis.

En cuanto al impacto de los ataques, el cifrado de archivos, que es uno de los tipos de ransomware más comunes y que priva a las organizaciones del acceso a sus datos, se ha mantenido como el principal problema al que se enfrentan las empresas durante tres años consecutivos. Además, el número de organizaciones que se encontraron con criptos en su red aumentó significativamente durante el período analizado (del 34% en 2019 al 51,9% en 2021). Otro aspecto alarmante es que en bastante más de la mitad de los casos (62,5%), los atacantes pasan más de un mes dentro de la red antes de cifrar los datos.

Los delincuentes consiguen pasar desapercibidos dentro de una infraestructura en gran medida gracias a las herramientas del sistema operativo, las herramientas ofensivas conocidas y el uso de estructuras comerciales, que están implicados en el 40% de todos los incidentes. Tras la penetración inicial, los atacantes utilizan herramientas legítimas para diferentes fines: PowerShell para recopilar datos, Mimikatz para escalar privilegios, PsExec para ejecutar comandos de forma remota o frameworks como Cobalt Strike para todas las fases del ataque.

Recomendaciones del especialista
-- Hacer una copia de seguridad de los datos para poder seguir accediendo a los archivos cruciales en caso de un ataque de ransomware y utilizar soluciones capaces de bloquear cualquier intento de cifrado de sus datos.

-- Trabajar con un socio de confianza de Respuesta a Incidentes para abordar los incidentes con acuerdos de nivel de servicio rápidos.

-- Formar continuamente a su equipo de respuesta a incidentes para estar al día con el cambiante panorama de las amenazas.

-- Implantar programas de seguridad estrictos para las aplicaciones con información personal identificable.

-- Comprender los perfiles de los atacantes que apuntan al sector y región en el que opera la compañía para priorizar el desarrollo de las operaciones de seguridad.

-- Implantar una solución de detección y respuesta endpoint con un servicio de detección y respuesta gestionado para detectar y reaccionar rápidamente ante los ataques, entre otras características.