El uso de aplicaciones de confianza para lanzar ciberataques crece un 51%
- Actualidad

Según el análisis de la primera mitad del 2024 realizado por los equipos de respuesta a incidentes y Managed Detection and Response de Sophos X-Ops, los ataques binarios “living off the land” se han disparado desde 2023, particularmente con herramientas de confianza de Windows.
Los ataques “living off the land” se caracterizan por utilizar herramientas de confianza ya instaladas para evitar su detección temprana. Según el informe de Sophos “The Bite from Inside: The Sophos Active Adversary Report”, referente a la primera mitad de este año, este tipo de ataques ha crecido un 51% con respecto al 2023 y hasta un 83% desde el año 2021.
El informe se basa en el análisis de 200 casos que involucraron a los equipos de respuesta a incidentes y Managed Detection and Response de la compañía. En la mayor parte de ellos, el 89%, se utilizó la herramienta de Microsoft Protocolo de Escritorio Remoto (RDP), en la misma línea que en 2023, cuando supusieron el 90% de los casos de respuesta a incidentes investigados.
John Shier, CTO Field en Sophos, explica que “muchas de estas herramientas de Microsoft de las que se abusa son parte integral de Windows y tienen usos legítimos, pero depende de los administradores de sistemas entender cómo se utilizan en sus entornos y qué constituye un abuso. Sin un conocimiento matizado y contextual del entorno, que incluya una vigilancia continua de los sucesos nuevos y en desarrollo dentro de la red, los equipos de TI actuales corren el riesgo de pasar por alto actividades de amenazas clave que a menudo conducen al ransomware”.
El informe revela también que el grupo de ransomware más activo fue LockBit, pese a su desmantelamiento en febrero; el objetivo principal de los ataques es el robo de credenciales (39%); las brechas de red fueron el incidente dominante; y los servidores de Active Directory más atacados son los que están al final de su vida útil. Por lo demás, la compañía señala que el equipo de respuesta a incidentes tarda ocho días en detectar un ataque, mientras que el de MDR tarda en detectarlos una media de un día (tres en casos de ransomware).