Ciberdelincuentes
Los ciberdelincuentes pueden utilizar todas y cada una de las diferentes de técnicas de ataque, en las redes usando cualquier combinación que deseen.
¿Qué es lo que realmente funciona para los ciberdelincuentes cuando inician un ataque?, ¿Qué tipo de cosas hacen una vez que han entrado?
Active Adversary Playbook
El experto de Sophos, John Shier, anlizó los informes de 144 ciberataques reales investigados por Sophos Rapid Response durante 2021.
Menciona en particular:
- Las vulnerabilidades sin parches fueron el punto de entrada de cerca del 50 % de los atacantes.
- Los atacantes permanecieron más de un mes de media cuando el ransomware no era su objetivo principal.
- Se sabe que los atacantes han robado datos en cerca del 40 % de los incidentes. (No se pueden demostrar todos los robos de datos, por supuesto, dado que no hay un agujero en el lugar donde estaba la copia de los datos, por lo que la cifra real podría ser mucho mayor).
- Más del 80 % de los atacantes utilizaron el RDP para circunnavegar la red una vez que entraron.
¿Quién hace que los ataques de ransomware sean tan dañinos?
Lo más importante es que hay grupos enteros de ciberdelincuentes que no se dedican a la confrontación directa de las bandas de ransomware.
Estos delincuentes “no relacionados con el ransomware” incluyen un grupo importante conocido en el sector como IABs, o corredores de acceso inicial.
Los IABs no obtienen sus ingresos ilícitos de la extorsión a su negocio después de un ataque violentamente visible, sino de la ayuda y la instigación a otros delincuentes para que lo hagan.
De hecho, estos delincuentes de IAB podrían hacer mucho más daño a las empresas a largo plazo que los atacantes de ransomware.
El RDP sigue siendo peligroso
Una buena noticia es que el RDP (Protocolo de Escritorio Remoto de Microsoft) está mucho mejor protegido en estos días, con menos del 15 % de los atacantes que utilizan RDP como su punto de entrada inicial. (El año anterior, era más del 30 %).
Pero la mala noticia es que muchas empresas todavía no han adoptado el concepto de confianza cero o de necesidad de saber.
En otras palabras, aunque muchas empresas parecen haber endurecido sus portales RDP de acceso externo (algo que no podemos sino aplaudir), parecen seguir confiando en gran medida en las llamadas defensas perimetrales como herramienta principal de ciberseguridad.
Pero las redes actuales, especialmente en un mundo con mucho más trabajo remoto y “telepresencia” que hace tres años, ya no tienen realmente un perímetro.
(Como analogía del mundo real, considera que muchas ciudades históricas todavía tienen murallas, pero ahora son poco más que atracciones turísticas que han sido absorbidas por los centros de las ciudades modernas).
Agradecemos a: