La explotación de aplicaciones abiertas al público es el vector de ataque más utilizado

  • Endpoint

La proporción de este método ha aumentado al 53,6%. Otros vectores de ataque inicial comunes incluían cuentas comprometidas y correos electrónicos maliciosos. Una política de administración de parches adecuada por sí sola puede reducir la probabilidad de un ataque exitoso en un 50%.

Cuando los atacantes planifican sus campañas, generalmente tienen como objetivo encontrar problemas de seguridad fácilmente identificables, como servidores públicos con vulnerabilidades conocidas, contraseñas deficientes o cuentas comprometidas. Año tras año, estos vectores de acceso inicial han dado lugar a un número creciente de incidentes de ciberseguridad de alta gravedad.

El análisis de datos anónimos de casos de respuesta a incidentes manejados por Kaspersky Global Emergency Response Team (GERT) de todo el mundo demuestra que la explotación de aplicaciones abiertas al público, accesibles tanto desde la red interna como desde Internet, se ha convertido en el vector inicial más utilizado para penetrar en el perímetro de una organización. La proporción de este método como vector de ataque inicial ha aumentado del 31,5% en 2020 al 53,6% en 2021, mientras que el uso de cuentas comprometidas y correos electrónicos maliciosos ha disminuido del 31,6% al 17,9%, y del 23,7% al 14,3%, respectivamente.

Es probable que este cambio esté relacionado con las vulnerabilidades descubiertas en los servidores de Microsoft Exchange el año pasado. La ubicuidad de este servicio de correo y la disponibilidad pública de exploits para estas vulnerabilidades han dado lugar a un gran número de incidentes relacionados.

Entrando en el impacto de los ataques, el cifrado de archivos, que es uno de los tipos de ransomware más comunes y priva a las organizaciones del acceso a sus datos, ha seguido siendo el principal problema al que se enfrentan las empresas durante tres años consecutivos. Además, el número de organizaciones que encontraron ransomware en su red aumentó significativamente durante el período observado (del 34% en 2019 al 51,9% en 2021). Otro aspecto alarmante es que en más de la mitad de los casos (62,5%), los atacantes pasan más de un mes dentro de la red antes de cifrar los datos.

Los adversarios logran pasar desapercibidos dentro de una infraestructura en gran parte debido a las herramientas del sistema operativo, las herramientas ofensivas conocidas y el uso de marcos comerciales, que están involucrados en el 40% de todos los incidentes. Después de la penetración inicial, los atacantes usan herramientas legítimas para diferentes propósitos: PowerShell para recopilar datos, Mimikatz para escalar privilegios, PsExec para ejecutar comandos de forma remota o marcos como Cobalt Strike para todas las etapas del ataque.

"Nuestro informe demuestra que una política de administración de parches adecuada por sí sola puede reducir la probabilidad de un ataque exitoso en un 50%. Esto confirma una vez más la necesidad de medidas básicas de ciberseguridad. Al mismo tiempo, incluso la implementación más completa de tales medidas no puede garantizar una defensa intransigente", comenta Konstantin Sapronov, jefe del Equipo Global de Respuesta a Emergencias. "Dado que los adversarios recurren a varios métodos maliciosos, la mejor manera de proteger su organización es utilizar herramientas y enfoques que permitan que la acción adversaria se note y se detenga a lo largo de las diferentes etapas de un ataque".