Los atacantes permanecen en las redes una media de 11 días sin ser detectados

  • Endpoint

El 90% de los ataques analizados implicaban el uso del Protocolo de Escritorio Remoto (RDP) y, en el 69% de los casos, los atacantes utilizaban RDP para el movimiento lateral interno. El ransomware estuvo presente en el 81% de los ataques investigados por Sophos.

Recomendados: 

Sophos ZTNA: securizando el acceso a organizaciones en cualquier lugar Webinar

Aplicaciones, ¿cómo desarrollo, entrego y gestiono mi software? Webinar

Informe: Hacia la empresa hiperinteligente Leer

Sophos ha publicado el infome "Active Adversary Playbook 2021", que detalla los comportamientos de los atacantes y las herramientas, técnicas y procedimientos (TTTPs) que los threat hunters de Sophos detectaron en 2020 y a principios de 2021. Los hallazgos muestran que el tiempo medio que un atacante permanece oculto en las redes antes de su detección es de 11 días, o 264 horas, y que la intrusión no detectada más larga duró 15 meses.

11 días potencialmente proporcionan a los atacantes mucho tiempo para realizar actividades maliciosas, como movimiento lateral, reconocimiento, volcado de credenciales, exfiltración de datos y más. Teniendo en cuenta que algunas de estas actividades pueden tardar solo minutos o unas pocas horas en implementarse, 11 días ofrece a los atacantes mucho tiempo para causar daños en la red de una organización. También vale la pena señalar que los ataques ransomware tienden a tener un tiempo de permanencia más corto que los ataques "sigilosos", porque su objetivo es la extorsión mediante el cifrado o destrucción de los datos.

El 90% de los ataques analizados implicaban el uso del Protocolo de Escritorio Remoto (RDP) y, en el 69% de todos los casos, los atacantes utilizaban RDP para el movimiento lateral interno. Como señala Sophos, las medidas de seguridad para RDP, como las VPN y la autenticación multifactor, tienden a centrarse en proteger el acceso externo. Sin embargo, estas no funcionan si el atacante ya está dentro de la red. El uso de RDP para el movimiento lateral interno es cada vez más común en ataques activos, como los que involucran ransomware.

Entre las herramientas detectadas en las redes de víctimas surgen interesantes correlaciones. Por ejemplo, cuando PowerShell se utiliza en un ataque, Cobalt Strike se ve en el 58% de los casos, PsExec en el 49%, Mimikatz en el 33% y GMER en el 19%. Cobalt Strike y PsExec se utilizan juntos en el 27% de los ataques, mientras que Mimikatz y PsExec van juntos en el 31% de los ataques. Por último, la combinación de Cobalt Strike, PowerShell y PsExec se produce en el 12% de todos los ataques. Tales correlaciones son importantes porque su detección puede servir como una alerta temprana de un ataque inminente o confirmar la presencia de un ataque activo.

El ransomware estuvo involucrado en el 81% de los ataques investigados. La liberación de ransomware es a menudo el punto en el que un ataque se hace visible para un equipo de seguridad de TI. Por lo tanto, no es de extrañar que la gran mayoría de los incidentes incluyeran ransomware. Otros tipos de ataques que Sophos investigó incluyeron herramientas de exfiltración, criptomineros, troyanos bancarios, wipers y droppers, entre otros.

"El panorama de amenazas se está volviendo más concurrido y complejo, con ataques lanzados por adversarios con una amplia gama de habilidades y recursos. Esto puede hacer que la vida sea difícil para los defensores", señala John Shier, asesor de seguridad sénior de Sophos. "Durante el último año, nuestros threat hunters ayudaron a neutralizar los ataques lanzados por más de 37 grupos de ataque, utilizando más de 400 herramientas diferentes entre ellos. Muchas de estas herramientas también son utilizadas por los administradores de TI y profesionales de seguridad para sus tareas cotidianas y detectar la diferencia entre la actividad lícita y la maliciosa no siempre es fácil”.