Las credenciales comprometidas siguen siendo la principal causa de ataques
La combinación de servicios remotos externos y cuentas válidas se alinea con las principales causas de los ataques. Por segundo año consecutivo, las credenciales comprometidas fueron la principal causa de los ataques (41 % de los casos). Le siguieron las vulnerabilidades explotadas (21,79 %) y los ataques de fuerza bruta (21,07 %).
Al analizar las investigaciones de MDR e IR, el equipo de X-Ops de Sophos se centró específicamente en casos de ransomware, exfiltración de datos y extorsión de datos para identificar la velocidad con la que los atacantes avanzaban por las etapas de un ataque dentro de una organización. En estos tres tipos de casos, la mediana de tiempo entre el inicio del ataque y la exfiltración fue de tan solo 72,98 horas (3,04 días). Además, la mediana de tiempo entre la exfiltración y la detección del ataque fue de tan solo 2,7 horas.
La falta de visibilidad de los archivos que circulan por la red, así como la ausencia de registros, también contribuye a las estadísticas de exfiltración. En 2024, los analistas confirmaron que la exfiltración se produjo en el 27 % de los casos. Si se incluyen pruebas de almacenamiento de datos y posible exfiltración, esta cifra asciende al 36 %. En el 43 % de los incidentes investigados, se exfiltraron datos de víctimas de ransomware. En un 14 % adicional, se observó posible exfiltración o pruebas de almacenamiento de datos.
La seguridad pasiva ya no es suficiente. Si bien la prevención es esencial, la respuesta rápida es crucial. Las organizaciones deben monitorear activamente las redes y actuar con rapidez ante la telemetría observada. Los ataques coordinados por parte de adversarios motivados requieren una defensa coordinada. Para muchas organizaciones, esto significa combinar el conocimiento específico del negocio con la detección y respuesta de expertos, afirmó John Shier , CISO de campo.
Las implementaciones de ransomware aumentan fuera del horario comercial
El tiempo medio entre la acción inicial de los atacantes y su primer intento (a menudo exitoso) de vulnerar Active Directory (AD), posiblemente uno de los recursos más importantes de cualquier red Windows, fue de tan solo 11 horas. Si tienen éxito, los atacantes pueden tomar el control de la organización con mayor facilidad. El 62 % de los servidores comprometidos utilizaban sistemas operativos que no contaban con el soporte general.
En 2024, el 83 % de los binarios de ransomware se desplegaron fuera del horario comercial local del objetivo; la estadística histórica se sitúa en el 88 %. Si bien parece que las implementaciones de ransomware solo se realizan por la noche, no parece haber una preferencia persistente por los días de la semana.
Akira fue el grupo de ransomware más frecuente en 2024, seguido de Fog y LockBit (a pesar de que varios gobiernos habían desmantelado LockBit a principios de año).
En general, el tiempo de permanencia (el tiempo desde el inicio de un ataque hasta que se detecta) disminuyó de 4 días a solo 2 en 2024, en gran medida debido a la incorporación de casos de MDR al conjunto de datos.
El tiempo de permanencia en los casos de IR se mantuvo estable en 4 días para ataques de ransomware y 11,5 días para casos sin ransomware. El tiempo de permanencia en los casos de MDR fue de solo 3 días para casos de ransomware y de solo 1 día para casos sin ransomware, lo que sugiere que los equipos de MDR pueden detectar y responder a los ataques con mayor rapidez.
La falta de MFA pone en riesgo a las organizaciones
Las detecciones del protocolo de escritorio remoto (RDP) siguen liderando el abuso de herramientas de Microsoft. En 2024, los atacantes lo utilizaron en el 84 % de los casos: el 67 % se utilizó solo para el movimiento lateral interno y el 3 % solo para el externo.
En 2022, los investigadores observaron que el 22 % de las víctimas no tenían configurada la MFA . Esta proporción casi se triplicó, alcanzando el 63 % en 2024. En este aspecto, no se observó una distinción significativa entre los casos de IR y MDR.
La MFA no estuvo disponible en el 66 % de los casos de IR ni en el 62 % de los casos de MDR. Esto pone de manifiesto cómo incluso el programa de detección y respuesta más eficaz puede dejar a las organizaciones vulnerables a ataques.
Los profesionales de seguridad no sólo libran una batalla contra las amenazas planteadas por adversarios externos, sino también una lucha interna con los procesos de negocio y la gestión del cambio.
Fuente y redacción: helpnetsecurity.com
