Sophos publicó el informe “Libro de Estrategias del Adversario Activo 2022” (Active Adversary Playbook), que detalla los comportamientos de los atacantes que el equipo de respuesta rápida de Sophos detectó en 2021.
Los hallazgos muestran un aumento del 36% en el tiempo de permanencia en los sistemas vulnerados, con un tiempo promedio de 15 días; cifra superior a los 11 días promedio registrados durante 2020.
El informe también revela el impacto de las vulnerabilidades de ProxyShell en Microsoft Exchange, que Sophos cree que algunos agentes de acceso inicial (IAB por sus siglas en inglés) aprovecharon para vulnerar las redes y luego vender ese acceso a otros atacantes.
“El mundo del cibercrimen se ha vuelto increíblemente diverso y especializado. Los IAB han desarrollado estrategias para vulnerar a un objetivo realizando un reconocimiento exploratorio o instalando una puerta trasera, y luego vendiendo la llave de acceso a grupos de ransomware para gestionar sus propios ataques”, dijo John Shier, asesor senior de seguridad de Sophos.
“En este panorama de amenazas cibernéticas cada vez más dinámico y basado en especialidades, puede ser difícil para las organizaciones mantenerse al día con las herramientas y enfoques en constante cambio que utilizan los atacantes. Es vital que los defensores entiendan qué buscar en cada etapa de la cadena de ataque, para que puedan detectar y neutralizar los ataques lo más rápido posible”, añade.
La investigación de Sophos también muestra que el tiempo de permanencia de los intrusos fue mayor en los entornos de las organizaciones más pequeñas. Los atacantes permanecieron durante aproximadamente 51 días en organizaciones con hasta 250 empleados, mientras que normalmente pasaron 20 días en organizaciones con 3000 a 5000 empleados.
“Los atacantes consideran que las organizaciones más grandes son más valiosas, por lo que están más motivados para entrar, obtener lo que quieren y salir. Las organizaciones más pequeñas tienen menos ‘valor’ percibido, por lo que los atacantes pueden darse el lujo de estar al acecho en la red en segundo plano durante un período más largo. También es posible que estos atacantes tuvieran menos experiencia y necesitarán más tiempo para averiguar qué hacer una vez que estuvieran dentro de la red”, señala Shier.
“Por último, debemos destacar que las organizaciones más pequeñas suelen tener menos visibilidad a lo largo de la cadena de ataque para detectar y expulsar a los atacantes, lo que prolonga su presencia. Con las oportunidades de las vulnerabilidades ProxyLogon y ProxyShell sin parches, estamos viendo más evidencia de múltiples atacantes en un solo objetivo. Cuando esto sucede, los atacantes procuran moverse más rápido para vencer a otros entes maliciosos que les pudieran representar una competencia”, indica.
“Las señales de alerta que los defensores deben tener en cuenta incluyen la detección de una herramienta legítima, una combinación de herramientas o una actividad en un lugar inesperado o en un momento poco común”, dijo Shier. “Vale la pena señalar que también puede haber momentos de poca o ninguna actividad, pero eso no significa que no se haya violado una organización. Por ejemplo, es probable que haya muchas más infracciones de ProxyLogon o ProxyShell que actualmente se desconocen, en las que se han implantado puertas traseras en objetivos para el acceso persistente y ahora permanecen en silencio hasta que se usa o vende ese acceso”, añade
“Los defensores deben estar alerta ante cualquier señal sospechosa e investigar de inmediato. Necesitan parchear errores críticos, especialmente aquellos en software ampliamente utilizado y, como prioridad, fortalecer la seguridad de los servicios de acceso remoto. Hasta que se cierren los puntos de entrada expuestos y se elimine por completo todo lo que los atacantes han hecho para establecer y retener el acceso, casi cualquiera puede entrar tras ellos, y probablemente lo hará”, sentenció el especialista.
El “Libro de Estrategias del Adversario Activo 2022″ (Active Adversary Playbook) se basa en 144 incidentes detectados en 2021, dirigidos a organizaciones de todos los tamaños, en una amplia gama de sectores industriales y ubicadas en Estados Unidos, Canadá, el Reino Unido, Alemania, Italia, España, Francia, Suiza, Bélgica, Países Bajos, Austria, Emiratos Árabes Unidos, Arabia Saudita, Filipinas, Bahamas, Angola y Japón. Los sectores más representados son Manufactura (17%); Retail (14%); Salud (13%); TI (9%); Construcción (8%) y Educación (6%).
El objetivo de este informe es ayudar a los equipos de seguridad a comprender cómo se comportan y qué hacen los adversarios durante los ataques, así como recomendaciones para detectar y defenderse de actividades maliciosas en la red. Para obtener más información sobre los comportamientos, las herramientas y las técnicas de los atacantes, consulte el “Libro de Estrategias del Adversario Activo 2022″ (Active Adversary Playbook), en Sophos News.