www.zonamovilidad.es
El tiempo medio que pasan los ciberatacantes en la red empresarial de sus víctimas incrementa un 36%
Ampliar

El tiempo medio que pasan los ciberatacantes en la red empresarial de sus víctimas incrementa un 36%

domingo 12 de junio de 2022, 13:00h

Escucha la noticia

Sophos acaba de publicar el informe “Active Adversary Playbook 2022”, donde muestra el comportamiento de los ciberdelincuentes que el equipo de Rapid Response de Sophos identificó en 2021. Estos resultados reflejan un crecimiento del 36% en el tiempo de permanencia en la red de la víctima, con una media de permanencia del intruso de 15 días en 2021 frente a los 11 de 2020.

El informe, “Active Adversary Playbook 2022” de Sophos ofrece información sobre el impacto de las vulnerabilidades de ProxyShell en Microsoft Exchange, que podrían haber sido aprovechadas por algunas herramientas de acceso ilegítimas conocidas como Initial Access Brokers (IABs), para violar las redes y luego vender ese acceso a otros ciberatacantes.

"El mundo de la ciberdelincuencia se ha vuelto increíblemente diverso y especializado”

Por otro lado, John Shier, asesor senior de seguridad de Sophos ha señalado que "el mundo de la ciberdelincuencia se ha vuelto increíblemente diverso y especializado. Los IABs han desarrollado una industria de cibercrimen artesanal al penetrar en una red objetivo, hacer un reconocimiento exploratorio o instalar una puerta trasera, para luego vender el acceso llave en mano a las bandas de ransomware para sus propios ataques. En este panorama de ciberamenazas, cada vez más dinámico y especializado, puede ser difícil para las empresas mantenerse al día con las herramientas y enfoques que utilizan los atacantes y que están en constante evolución. Es vital que los responsables de seguridad entiendan qué es lo que tienen que buscar en cada etapa de la cadena de un ataque, para que puedan detectar y neutralizar los ataques lo más rápido posible".

En lo que se refiere al tiempo de permanencia de los ciberdelincuentes, fue mayor en los entornos de las empresas más pequeñas. Además, los atacantes permanecieron aproximadamente 51 días en las redes de compañías con hasta 250 empleados, mientras que normalmente pasaron 20 días en aquellas con entre 3.000 y 5.000 trabajadores.

“Las compañías más pequeñas tienen menos "valor" percibido, por lo que los atacantes pueden permitirse merodear por la red en segundo plano durante más tiempo”

En base a esto, Shier ha detallado que "los atacantes consideran que las empresas más grandes son más valiosas, por lo que están más motivados para entrar, conseguir lo que quieren y salir. Por el contrario, las compañías más pequeñas tienen menos "valor" percibido, por lo que los atacantes pueden permitirse merodear por la red en segundo plano durante más tiempo. También es posible que estos ciberatacantes tuvieran menos experiencia y necesitaran más tiempo para averiguar qué hacer una vez que estuvieran dentro de la red. Por último, las empresas más pequeñas suelen tener menos visibilidad de la cadena completa del ataque para detectar y expulsar a los atacantes, lo que prolonga su presencia”. También ha añadido que "con las oportunidades que ofrecen las vulnerabilidades ProxyLogon y ProxyShell sin parchear y el aumento de los IAB, estamos viendo más evidencias de la presencia de múltiples atacantes en un solo objetivo. Si hay mucha gente dentro de una misma red, los atacantes querrán moverse rápido para superar a su competencia".

Otro dato bastante interesante de este estudio es que el tiempo medio de permanencia de las empresas afectadas por el ransomware fue de 11 días. Asimismo, las empresas del sector educativo o con menos de 500 empleados también tuvieron tiempos de permanencia más largos.

Por consiguiente, las combinaciones de herramientas comunes usadas en los ataques ofrecen una poderosa señal de advertencia de la actividad de los intrusos. Además, el 50% de los incidentes de ransomware implicaron una filtración de datos confirmada y, con los datos disponibles, el intervalo medio entre el robo de datos y el despliegue del ransomware fue de 4,28 días.

Finalmente, Conti ha sido el grupo de ransomware más abundante visto en 2021, representando el 18% de los incidentes. A continuación, el ransomware REvil representó uno de cada 10 incidentes. De los 144 incidentes incluidos en el análisis se identificaron 41 grupos de ransomware diferentes. De ellos, unos 28 eran grupos nuevos que aparecieron por primera vez en 2021.

¿Te ha parecido interesante esta noticia?    Si (0)    No(0)

+
0 comentarios