Sophos: Un ciberataque tarda 8 días en promedio en ser detectado
Los atacantes tardan menos de un día en llegar a Active Directory, el activo más importante de las empresas. La gran mayoría de los ataques de ransomware ocurren fuera del horario comercial.
Sophos, líder mundial en innovación y entrega de ciberseguridad como servicio, lanzó su Active Adversary Report para Lideres Tecnologicos 2023, una mirada en profundidad a los comportamientos y herramientas de los atacantes durante la primera mitad de 2023. Después de analizar los casos de Sophos Incident Response (IR) de enero a julio de 2023, Sophos X-Ops descubrió que el tiempo promedio de permanencia del atacante, el tiempo desde que comienza un ataque hasta que se detecta, se redujo de 10 a ocho días para todos los ataques, y a cinco días para ataques de ransomware. En 2022, el tiempo medio de permanencia disminuyó de 15 a 10 días.
Además, Sophos X-Ops descubrió que, en promedio, los atacantes tardaron menos de un día, aproximadamente 16 horas, en llegar a Active Directory (AD), uno de los activos más críticos para una empresa. AD generalmente administra la identidad y el acceso a los recursos en una organización, lo que significa que los atacantes pueden usar AD para escalar fácilmente sus privilegios en un sistema para simplemente iniciar sesión y llevar a cabo una amplia gama de actividades maliciosas.
«Atacar la infraestructura de Active Directory de una organización tiene sentido desde un punto de vista ofensivo. AD suele ser el sistema más poderoso y privilegiado de la red, y proporciona un amplio acceso a los sistemas, aplicaciones, recursos y datos que los atacantes pueden explotar en sus ataques. Cuando un atacante controla AD, pueden controlar la organización. El impacto, la escalada y la sobrecarga de recuperación de un ataque de Active Directory es la razón por la que se dirige», dijo John Shier, CTO de campo, Sophos.
“Llegar y obtener el control del servidor de Active Directory en la cadena de ataque proporciona a los adversarios varias ventajas. Pueden permanecer sin ser detectados para determinar su próximo movimiento y, una vez que están listos para partir, pueden atravesar la red de la víctima sin obstáculos.
“La recuperación completa de un dominio comprometido puede ser un esfuerzo largo y arduo. Tal ataque daña la base de seguridad en la que se basa la infraestructura de una organización. Muy a menudo, un ataque AD exitoso significa que un equipo de seguridad debe comenzar desde cero».
El tiempo de permanencia de los ataques de ransomware también disminuyó. Fueron el tipo de ataque más frecuente en los casos de RI analizados, representando el 69% de los casos investigados, y el tiempo medio de permanencia de estos ataques fue de solo cinco días. En el 81% de los ataques de ransomware, la carga útil final se lanzó fuera del horario laboral tradicional, y para aquellos que se implementaron durante el horario comercial, solo cinco ocurrieron en un día laborable.
El número de ataques detectados aumentó a medida que avanzaba la semana, sobre todo al examinar los ataques de ransomware. Casi la mitad (43%) de los ataques de ransomware se detectaron el viernes o el sábado.
«De alguna manera, hemos sido víctimas de nuestro propio éxito. A medida que crece la adopción de tecnologías como XDR y servicios como MDR, también crece nuestra capacidad para detectar ataques antes. Reducir los tiempos de detección conduce a una respuesta más rápida, lo que se traduce en un tiempo más corto». ventana operativa para los atacantes Al mismo tiempo, los delincuentes han estado perfeccionando sus libros de jugadas, especialmente los afiliados de ransomware experimentados y con buenos recursos, que continúan acelerando sus ruidosos ataques frente a las defensas mejoradas.
Pero eso no significa que colectivamente estemos más seguros. Esto se evidencia por la nivelación de los tiempos de permanencia que no son de ransomware. Los atacantes siguen entrando en nuestras redes y, cuando el tiempo no apremia, tienden a demorarse. Pero todas las herramientas del mundo no te salvarán si no estás mirando. Se necesitan las herramientas adecuadas y un monitoreo continuo y proactivo para garantizar que los delincuentes tengan un día peor que el suyo. Aquí es donde MDR realmente puede cerrar la brecha entre atacantes y defensores, porque incluso cuando no estás mirando, nosotros sí”, dijo Shier.
El Informe de adversario activo de Sophos para líderes empresariales se basa en la respuesta a incidentes (IR) de Sophos a partir de investigaciones que abarcan todo el mundo en 25 sectores de enero a julio de 2023. Las organizaciones objetivo estaban ubicadas en 33 países diferentes en seis continentes. El ochenta y ocho por ciento de los casos provino de organizaciones con menos de 1.000 empleados.
El Informe de adversario activo de Sophos para líderes tecnológicos proporciona a los profesionales de la seguridad información e información útiles sobre amenazas para poner en práctica mejor su estrategia de seguridad.
Para obtener más información sobre los comportamientos, las herramientas y las técnicas de los atacantes, lea «El tiempo sigue resbalando, resbalando, resbalando: el informe sobre adversarios activos de 2023 para líderes tecnológicos» en Sophos.com.