Las vulnerabilidades sin parchear, vía más común de acceso inicial a los sistemas por parte de los ciberatacantes
- Actualidad
Las vulnerabilidades sin parchear fueron la vía de acceso más habitual utilizada por los ciberdelincuentes para entrar inicialmente en los sistemas de las víctimas en 2022, según un informe de Sophos. En segundo lugar se situaron las credenciales comprometidas.
El informe "Active Adversary Report for Business Leaders", en el que la firma de ciberseguridad analiza en profundidad los comportamientos y las técnicas de ataque más utilizadas en 2022, ha identificado más de 500 herramientas únicas empleadas por los ciberatacantes. Este es el resultado, después de que equipo de Respuesta a Incidentes estudiase más de 150 casos, incluyendo 118 binarios "Living off the Land" (LOLBins). Estos, a diferencia del malware, son ejecutables que se encuentran de forma natural en los sistemas operativos, lo que los hace mucho más difíciles de bloquear para los equipos de seguridad cuando los atacantes los explotan para actividades maliciosas.
Además, Sophos ha descubierto que las vulnerabilidades sin parchear han sido la vía de acceso más común utilizada por los ciberatacantes para obtener el acceso inicial a los sistemas de las víctimas. De hecho, en la mitad de las investigaciones incluidas en el informe, los atacantes explotaron las vulnerabilidades ProxyShell y Log4Shell -vulnerabilidades identificadas desde 2021- para infiltrarse en las redes de las empresas. La segunda causa de los ataques más común fueron las credenciales comprometidas.
Más de dos tercios de los ataques que ha investigado el equipo de Respuesta a Incidentes (68%) implicaban ransomware, lo que demuestra que este tipo de ataques sigue siendo una de las amenazas más generalizadas para las empresas. El ransomware también ha representado casi tres cuartas partes de los informes del equipo IR de Sophos en los últimos tres años.
Aunque el ransomware sigue dominando el panorama de las amenazas, el tiempo de permanencia de los atacantes se ha reducido en 2022, pasando de 15 a 10 días, para todos los tipos de ataque. En los casos de ransomware, el tiempo de permanencia se redujo de 11 a 9 días, mientras que la disminución ha sido aún mayor en los ataques sin ransomware. El tiempo de permanencia para estos últimos disminuyó de 34 días en 2021 a solo 11 días en 2022. Sin embargo, a diferencia de años anteriores, no ha habido variaciones significativas en los tiempos de permanencia investigados entre empresas de distinto tamaño o sectores.
