Sophos publicó el informe “Libro de Estrategias del Adversario Activo 2022″ (Active Adversary Playbook), que detalla los comportamientos de los atacantes que el equipo de respuesta rápida de Sophos detectó en 2021. Los hallazgos revelaron un aumento del 36% en el tiempo de permanencia en los sistemas vulnerados, con un tiempo promedio de 15 días; una cifra superior a los 11 días promedio registrados durante 2020.
El tiempo medio de permanencia es mayor en aquellos ataques ‘sigilosos’ que no son propiamente un ataque de Ransomware a gran escala. Mientras que el tiempo promedio en organizaciones vulneradas por el Ransomware fue de 11 días; en aquellas vulneradas sin verse afectadas por un ataque de grandes dimensiones (23% de todos los incidentes), fue de 34 días.
Otro hallazgo importante fue que el protocolo de escritorio remoto (RDP) ya no se utiliza para el acceso a los sistemas, sino para el movimiento lateral interno. En 2020, los atacantes usaron RDP para actividades externas en el 32% de los casos analizados, pero esto disminuyó al 13% en 2021. Si bien este cambio es positivo, contrasta con el porcentaje de uso lateral interno, dentro de los sistemas afectados, que fue de 82% frente al 69% del año previo.
La investigación de Sophos también señaló que las combinaciones de herramientas en los ataques son cada vez más comunes, por lo que son una buena señal de advertencia. Por ejemplo, en 2021 PowerShell y los scripts maliciosos que no son de PowerShell se utilizaron en el 64% de los casos; mientras que PowerShell y Cobalt Strike combinados se detectaron en el 56% de los casos; y PowerShell y PsExec se encontraron en el 51% de estos.
La información de Sophos también detalla que el 50% de los incidentes de Ransomware involucraron la filtración de datos confirmada y la brecha media entre el robo de datos y la implementación del Ransomware fue de 4.28 días.
Conti fue el grupo de Ransomware más prolífico de 2021, representando el 18 % de los incidentes en general. El Ransomware REvil representó uno de cada 10 incidentes, mientras que otras familias de Ransomware predominantes incluyeron DarkSide, el RaaS detrás del notorio ataque a Colonial Pipeline en Estados Unidos.
El “Libro de Estrategias del Adversario Activo 2022″ (Active Adversary Playbook) se basa en 144 incidentes detectados en 2021, dirigidos a organizaciones de todos los tamaños, en una amplia gama de sectores industriales y ubicadas en Estados Unidos, Canadá, el Reino Unido, Alemania, Italia, España, Francia, Suiza, Bélgica, Países Bajos, Austria, Emiratos Árabes Unidos, Arabia Saudita, Filipinas, Bahamas, Angola y Japón.
El objetivo de este informe es ayudar a los equipos de seguridad a comprender cómo se comportan y qué hacen los adversarios durante los ataques, así como recomendaciones para detectar y defenderse de actividades maliciosas en la red.
