Sophos, líder mundial en innovación y prestación de servicios de ciberseguridad, presentó «La Mordida Desde Adentro: El Informe de Sophos sobre Adversarios Activos«, un análisis detallado sobre el comportamiento cambiante y las técnicas de ataque utilizadas por los ciberdelincuentes durante la primera mitad de 2024. Los datos, recopilados de casi 200 casos de respuesta a incidentes (IR) realizados por los equipos de Sophos X-Ops IR y Sophos X-Ops Managed Detection and Response (MDR), revelan que los atacantes están utilizando aplicaciones y herramientas confiables en sistemas Windows, conocidas como binarios living off the land (LOLbins), para realizar actividades de descubrimiento en los sistemas y mantener la persistencia. Comparado con 2023, Sophos detectó un aumento del 51% en el abuso de LOLbins; desde 2021, el incremento es del 83%.
Entre los 187 LOLbins únicos de Microsoft detectados en la primera mitad del año, la aplicación confiable más utilizada fue el protocolo de escritorio remoto (RDP). En el análisis de casi 200 casos de IR, los atacantes abusaron de RDP en el 89% de ellos. Esta tendencia continúa la ya observada en el informe de adversarios activos de 2023, en el que el abuso de RDP se detectó en el 90% de los casos investigados.
“El uso de herramientas living-off-the-land no solo ofrece sigilo a las actividades de un atacante, sino que también parece validar tácitamente estas acciones. Mientras que el abuso de algunas herramientas legítimas puede levantar sospechas y generar alertas, el abuso de un binario de Microsoft suele tener el efecto contrario. Muchas de estas herramientas de Microsoft son fundamentales para Windows y tienen usos legítimos, pero depende de los administradores de sistemas comprender cómo se utilizan en sus entornos y qué constituye abuso. Sin una conciencia contextual y matizada del entorno, incluidas la vigilancia continua de nuevos eventos en la red, los equipos de TI sobrecargados corren el riesgo de no detectar actividades clave que a menudo derivan en Ransomware”, comenta John Shier, CTO de campo en Sophos.
Además, el informe descubrió que, a pesar de la desarticulación por parte del gobierno del principal sitio web de filtraciones y de la infraestructura de LockBit en febrero, este fue el grupo de Ransomware más frecuentemente encontrado, representando aproximadamente el 21% de las infecciones en la primera mitad de 2024.
Otros hallazgos clave del informe de adversarios activos de Sophos:
- Causa Raíz de los Ataques: Continuando con la tendencia observada en el informe anterior para líderes tecnológicos, las contraseñas comprometidas siguen siendo la principal causa raíz de los ataques, representando el 39% de los casos. Sin embargo, esto supone una disminución respecto al 56% registrado en 2023.
- Dominio de las Brechas de Red en MDR: En los casos gestionados por el equipo MDR de Sophos, las brechas de red fueron el incidente más común encontrado.
- Tiempos de Permanencia Más Cortos en MDR: En los casos gestionados por el equipo de Respuesta a Incidentes de Sophos, el tiempo de permanencia (tiempo desde el inicio de un ataque hasta su detección) se mantuvo en aproximadamente ocho días. En cambio, con MDR, el tiempo de permanencia medio fue de solo un día para todos los tipos de incidentes y de tres días para ataques de Ransomware.
- Servidores de Active Directory Comprometidos Cerca del Fin de su Vida Útil: Los servidores de Active Directory más frecuentemente comprometidos fueron las versiones 2019, 2016 y 2012. Estas versiones ya no cuentan con soporte principal de Microsoft y están próximas a llegar al fin de su vida útil (EOL). Además, el 21% de los servidores AD comprometidos ya se encontraban en estado EOL.
