Los ciberatacantes ocultan su rastro eliminando la telemetría de los sistemas
- Actualidad
El 82% de los atacantes elimina o desactiva los registros de telemetría de los sistemas que atacan según un estudio de Sophos presentado la semana pasada en el Sophos Day 2023 celebrado en el Museo Reina Sofía de Madrid.
El Informe Sophos Active Adversary, presentado la semana pasada en el Sophos Day 2023, analiza más de 230 casos reales que han sido investigados por el equipo de Respuesta a Incidentes de la compañía y muestra el comportamiento de los ciberatacantes en sus intrusiones. Uno de los elementos que más ha llamado la atención es el intento de borrar su rastro con el borrado o la eliminación de los registros de telemetría, que faltaban en el 42% de los casos analizados. De hecho, el 82% de las veces los atacantes los había eliminado a propósito.
Por otro lado, el 38% de los ataques de ransomware fueron rápidos, con un tiempo de permanencia de los atacantes en la red de 5 días o inferior. Aunque los ataques lentos siguen siendo mayoritarios (el 62%), la compañía señala que hay una tendencia a que se vayan reduciendo los tiempos de permanencia: 15 días en 2021, 10 días en 2022 y 8 días en la primera mitad de 2023.
La mayoría de los ataques de ransomware se producen fuera del horario laboral (el 43% en viernes o sábado) y tardan, aproximadamente, unas 16 horas en llegar al Active Directory (AD), que normalmente gestiona la identidad y el acceso a los recursos de una organización. Las brechas en telemetría, precisamente, disminuyen la visibilidad del sistema, lo que dificulta la rapidez de respuesta por parte de los responsables de la ciberseguridad.
John Shier, CTO Field de Sophos, indica que “el tiempo es crítico cuando se responde a una amenaza activa. El tiempo entre la detección del acceso inicial y la mitigación completa de la amenaza debe ser lo más corto posible. Cuanto más avance el atacante y menos telemetría haya disponible, más dificultad y tiempo necesitarán los equipos de seguridad para mitigar el ataque. Estamos viendo que los atacantes van cada vez más rápidos, aunque no están cambiando sus técnicas porque les siguen funcionando. Esto es una buena noticia y está permitiendo que el tiempo de detección también se reduzca. La clave es aumentar la fricción siempre que sea posible: si se dificulta el trabajo de los atacantes, se puede añadir un tiempo valioso para responder”.