Sophos: atacantes cibernéticos aprovecharon más de 500 herramientas y tácticas únicas en 2022

Sophos, experto mundial en innovación y entrega de ciberseguridad como servicio, lanzó hoy su Informe de Adversario Activo para Líderes Empresariales una mirada en profundidad a los comportamientos cambiantes y las técnicas de ataque que los adversarios usaron en 2022. Los datos, analizados de más de 150 casos de Respuesta a incidentes (IR) de Sophos, identificaron más de 500 herramientas y técnicas únicas, incluidos 118 archivos binarios «Living off the Land» (LOLBins). A diferencia del malware, los LOLBins son ejecutables que se encuentran naturalmente en los sistemas operativos, lo que los hace mucho más difíciles de bloquear para los defensores cuando los atacantes los explotan para actividades maliciosas.

Además, Sophos descubrió que las vulnerabilidades sin parchear eran la causa principal más común de que los atacantes obtuvieran acceso inicial a los sistemas objetivo. De hecho, en la mitad de las investigaciones incluidas en el informe, los atacantes explotaron las vulnerabilidades de ProxyShell y Log4Shell, vulnerabilidades de 2021, para infiltrarse en las organizaciones. La segunda causa raíz más común de los ataques fueron las credenciales comprometidas.

“Cuando los atacantes de hoy en día no ingresan, inician sesión. La realidad es que el entorno de amenazas ha crecido en volumen y complejidad hasta el punto en que no hay brechas perceptibles para que los defensores exploten. Para la mayoría de las organizaciones, los días de trabajar solos quedaron atrás.
Realmente es todo, en todas partes, todo a la vez. Sin embargo, existen herramientas y servicios disponibles para las empresas que pueden aliviar parte de la carga defensiva, lo que les permite concentrarse en sus principales prioridades comerciales”, dijo John Shier, CTO de campo de Sophos.

Más de dos tercios de los ataques que investigó el equipo de IR de Sophos (68 %) involucraron ransomware, lo que demuestra que el ransomware sigue siendo una de las amenazas más generalizadas para las empresas. El ransomware también representó casi las tres cuartas partes de las investigaciones de IR de Sophos en los últimos tres años.

Si bien el ransomware aún domina el panorama de amenazas, el tiempo de permanencia del atacante disminuyó en 2022, de 15 a 10 días, para todos los tipos de ataque. Para los casos de ransomware, el tiempo de permanencia disminuyó de 11 a 9 días, mientras que la disminución fue aún mayor para los ataques sin ransomware. El tiempo de permanencia para este último disminuyó de 34 días en 2021 a solo 11 días en 2022.
Sin embargo, a diferencia de años anteriores, no hubo una variación significativa en los tiempos de permanencia entre organizaciones o sectores de diferentes tamaños.

“Las organizaciones que han implementado con éxito defensas en capas con monitoreo constante obtienen mejores resultados en términos de gravedad de los ataques. El efecto secundario de las defensas mejoradas significa que los adversarios tienen que acelerar para completar sus ataques. Por lo tanto, los ataques más rápidos requieren una detección más temprana. La carrera entre atacantes y defensores seguirá aumentando y aquellos que no tengan una supervisión proactiva sufrirán las mayores consecuencias”, dijo Shier.

El Informe de adversario activo de Sophos para líderes empresariales se basa en 152 investigaciones de respuesta a incidentes (IR) en todo el mundo en 22 sectores. Las organizaciones objetivo estaban ubicadas en 31 países diferentes, incluidos EE. UU. y Canadá, el Reino Unido, Alemania, Suiza, Italia, Austria, Finlandia, Bélgica, Suecia, Rumania, España, Australia, Nueva Zelanda, Singapur, Japón, Hong Kong, India, Tailandia, Filipinas, Qatar, Baréin, Arabia Saudita, Emiratos Árabes Unidos, Kenia, Somalia, Nigeria, Sudáfrica, México, Brasil y Colombia. Los sectores más representados son la fabricación (20 %), seguido de la sanidad (12 %), la educación (9 %) y el comercio minorista (8 %).

El Informe de adversario activo de Sophos para líderes empresariales proporciona a las organizaciones la información y la inteligencia de amenazas procesables necesarias para optimizar las estrategias y defensas de seguridad.