Sophos ha publicado un informe titulado Active Adversary Report for Businees Leaders en el cual se han estudiado 152 incidentes y se ha determinado que, a lo largo del año 2022, los delincuentes han empleado más de 500 herramientas y técnicas únicas (2021 data, 2020 data).
Entre estas herramientas, se incluyen 118 binarios Living off the Land (LOLBins), que ha diferencia de los malware, son ejecutables que se encuentran de manera natural en los sistemas operativos, un hecho que los convierte en difícilmente bloqueables por parte de los equipos de seguridad.
Este año se hallaron más de 524 herramientas y técnicas únicas utilizadas por los atacantes: 204 herramientas ofensivas/hacking; 118 contenedores LOLB; y otros 202 artefactos únicos, que incluyen varias tácticas reconocidas en la taxonomía ATT&CK de MITRE.
Con una diversidad tan amplia de opciones en juego, centrar los esfuerzos de detección en una sola herramienta o técnica es un esfuerzo inútil. En su lugar, las organizaciones deben limitar las herramientas que pueden estar presentes en los sistemas, limitar el alcance de lo que pueden hacer estas herramientas y auditar todo el uso de las herramientas aprobadas.
Por otro lado, entre las vulnerabilidades sin parchear que han sido la vía de acceso más empleada por parte de los ciberdelincuentes, se destacan la explotación de dos vulnerabilidades identificadas desde 2021: ProxyShell y Log4Shell, para así infiltrarse en las redes de las organizaciones; y por otro lado, el empleo de las credenciales comprometidas.
John Shier, CTO de Sophos dice que «Cuando los cibercriminales no están forzando el acceso a una red, simplemente están entrando directamente. La realidad es que el entorno de las amenazas ha crecido en volumen y complejidad hasta el punto de que no hay huecos perceptibles que los equipos de seguridad puedan aprovechar».
Otro aspecto que incluye el informe es que más de dos tercios de todos los ataques, lo que supone un 68%, implicaban ransomware. Con ello se pone en evidencia que este tipo de ataques continúa siendo una de las amenazas más generalizadas para todas las empresas. Sin embargo, aunque el ransomware continua siendo una técnica muy empleada por los delincuentes cibernéticos, el tiempo de permanencia de los atacantes se ha visto reducido en el pasado año 2022 de 15 a 10 días.
Las empresas atacadas se ubicaban en 31 países diferentes, entre los que se incluyen Estados Unidos y Canadá, Reino Unido, Alemania, Suiza, Bélgica, Suecia, Italia, Austria, Finlandia, Rumanía, España, Australia, Nueva Zelanda, Singapur, Japón, India, Tailandia, Filipinas, Qatar, Bahréin, Arabia Saudí, Emiratos Árabes Unidos, Kenia, Somalia, Nigeria, Sudáfrica, México, Brasil y Colombia.
Fuente y redacción: segu-info.com.ar