Los atacantes optan por la cautela cuando entran en los sistemas informáticos de una empresa. Es lo que muestra el informe ‘Active Adversary Playbook 2022’, elaborado por Sophos. Los resultados muestran un aumento del 36% en el tiempo de permanencia en la red de la víctima, con una media de permanencia del intruso de 15 días en 2021, frente a los 11 de 2020.
La investigación de Sophos muestra que el tiempo de permanencia de los intrusos fue mayor en los entornos de las empresas más pequeñas. Los atacantes permanecieron aproximadamente 51 días en las redes de compañías con hasta 250 empleados, mientras que normalmente pasaron 20 días en aquellas con entre 3.000 y 5.000 trabajadores.
“Los atacantes consideran que las empresas más grandes son más valiosas, por lo que están más motivados para entrar, conseguir lo que quieren y salir. Por el contrario, las compañías más pequeñas tienen menos valor percibido, por lo que los atacantes pueden permitirse merodear por la red en segundo plano durante más tiempo. También es posible que estos ciberatacantes tuvieran menos experiencia y necesitaran más tiempo para averiguar qué hacer una vez que estuvieran dentro de la red. Por último, las empresas más pequeñas suelen tener menos visibilidad de la cadena completa del ataque para detectar y expulsar a los atacantes, lo que prolonga su presencia”, comenta John Shier, asesor senior de seguridad de Sophos.
El tiempo medio de permanencia de las empresas afectadas por el ransomware es de 11 días, según el informe de Sophos
El tiempo medio de permanencia de un atacante antes de ser detectado fue mayor en las intrusiones “sigilosas” que no se habían convertido en un ataque importante como el ransomware, y en el caso de empresas más pequeñas y sectores con menos recursos de seguridad informática. El tiempo medio de permanencia de las empresas afectadas por el ransomware fue de 11 días. Sin embargo, para aquellas que habían sufrido una brecha, pero aún no se habían visto afectadas por un ataque importante, como el ransomware (el 23% de todos los incidentes investigados), el tiempo medio de permanencia fue de 34 días. Las empresas del sector educativo o con menos de 500 empleados también tuvieron tiempos de permanencia más largos.
Los tiempos de permanencia más largos y los puntos de entrada abiertos hacen que las empresas sean más vulnerables a múltiples atacantes. Las pruebas forenses descubrieron casos en los que varios adversarios, incluidos los IAB, grupos de ransomware, criptomineros y, en ocasiones, incluso varios operadores de ransomware, tenían como objetivo, de manera simultánea, la misma compañía.
A pesar del descenso en el uso del Protocolo de Escritorio Remoto (RDP) para el acceso externo, los atacantes aumentaron su uso para el movimiento lateral interno. En 2020, los atacantes utilizaron RDP para actividades externas en el 32% de los casos analizados, pero esta cifra disminuyó al 13% en 2021. Aunque este cambio es bienvenido, y sugiere que se ha mejorado en la gestión de las superficies de ataque externas, los atacantes siguen abusando de RDP para el movimiento lateral interno. Sophos descubrió que los atacantes utilizaron RDP para el movimiento lateral interno en el 82% de los casos en 2021, frente al 69% en 2020.
Las combinaciones de herramientas comunes utilizadas en los ataques proporcionan una poderosa señal de advertencia de la actividad de los intrusos. Por ejemplo, las investigaciones de incidentes revelaron que en 2021 se vieron juntos PowerShell y scripts maliciosos que no son PowerShell en el 64% de los casos; PowerShell y Cobalt Strike combinados en el 56% de los casos; y PowerShell y PsExec se encontraron en el 51% de los casos. La detección de estas correlaciones puede servir de alerta temprana de un ataque inminente o confirmar la presencia de un ataque activo.
Más de cuatro días entre el despliegue del ransomware y el robo de los datos
El 50% de los incidentes de ransomware implicaron una filtración de datos confirmada y, con los datos disponibles, el intervalo medio entre el robo de datos y el despliegue del ransomware fue de 4,28 días. El 73% de los incidentes a los que Sophos respondió en 2021 incluían ransomware. De estos incidentes, el 50% también implicó la filtración de datos. A menudo, la filtración de datos es la última etapa del ataque antes de la liberación del ransomware, y las investigaciones de incidentes revelaron que el margen medio entra estos dos pasos fue de 4,28 días y la mediana fue de 1,84 días.
Conti fue el grupo de ransomware más abundante visto en 2021, representando el 18% de los incidentes en general. El ransomware REvil representó uno de cada 10 incidentes, mientras que otras familias de ransomware prevalente incluyeron DarkSide, el RaaS detrás del famoso ataque a Colonial Pipeline en Estados Unidos, y Black KingDom, una de las “nuevas” familias de ransomware que aparecieron en marzo de 2021 a raíz de la vulnerabilidad ProxyLogon. En los 144 incidentes incluidos en el análisis se identificaron 41 adversarios de ransomware diferentes. De ellos, unos 28 eran grupos nuevos que aparecieron por primera vez en 2021. 18 grupos de ransomware que fueron identificados en incidentes en 2020 ya no estaban presentes en la lista en 2021.
“Las red flags a las que los responsables de seguridad deben prestar atención incluyen la detección de una herramienta legítima, una combinación de herramientas o una actividad en un lugar inesperado o en un momento poco común”, afirma Shier. “Cabe destacar que también puede haber momentos de poca o nula actividad, pero eso no significa que una compañía no haya sido vulnerada. Por ejemplo, es probable que haya muchas más brechas ProxyLogon o ProxyShell que actualmente se desconocen, en las que se han implantado web shells y backdoors en los objetivos para obtener un acceso permanente y que ahora están silenciadas hasta que ese acceso se utiliza o se vende. Los responsables de seguridad deben estar atentos a cualquier señal sospechosa e investigarla inmediatamente. Tienen que parchear los errores críticos, especialmente los del software que más utilicen, y, como prioridad, deben reforzar la seguridad de los servicios de acceso remoto. Hasta que se cierren los puntos de entrada expuestos y se erradique por completo todo lo que los atacantes han hecho para establecer y mantener el acceso, casi cualquiera puede entrar tras ellos, y probablemente lo hará”.
El estudio de Sophos se basa en 144 incidentes ocurridos en 2021, dirigidos a empresas de todos los tamaños, en una amplia gama de sectores de la industria, y ubicados en Estados Unidos, Canadá, Reino Unido, Alemania, Italia, España, Francia, Suiza, Bélgica, Países Bajos, Austria, Emiratos Árabes Unidos, Arabia Saudita, Filipinas, Bahamas, Angola y Japón.