El informe Active Adversary Report, publicado por Sophos, detalla el comportamiento y las técnicas de los atacantes en más de 400 casos de servicios gestionados de detección y respuesta (MDR) y de respuesta a incidentes (IR) durante el pasado año.
El estudio revela que el porcentaje de compañías atacadas que no tenían activada la autenticación multifactor (MFA) casi se triplicó de 2022 a 2024, del 22% al 63%. Este dato coincide con el hecho de que las credenciales comprometidas fueron la causa principal de los ataques (en el 41% de los casos) por segundo año consecutivo.
Abuso de las credenciales comprometidas
El abuso por parte de los ciberdelincuentes de las credenciales comprometidas resulta aún más evidente en el punto de acceso inicial más frecuentemente utilizado: los servicios remotos externos. En el 71% de los casos, los agresores accedieron a las redes a través de servicios remotos externos, incluidos dispositivos periféricos como firewalls y VPN. En el 79% de esos casos, los cibermalos pudieron explotar servicios remotos externos como resultado de credenciales comprometidas.
Las investigaciones de servicios gestionados de detección y respuesta (MDR) y de respuesta a incidentes (IR) del equipo de Sophos X-Ops se centró en los casos de ransomware, exfiltración y extorsión de datos para identificar la rapidez con la que los atacantes avanzaban por las fases de un ataque dentro de una empresa. En estos tres tipos de casos, el tiempo medio transcurrido entre el inicio del ataque y la filtración fue de solo 72,98 horas (3,04 días). Además, solo hubo una media de 2,7 horas desde la exfiltración hasta la detección del ataque.
Más conclusiones
Los cibercriminales pueden hacerse con el control de un sistema en solo 11 horas. El tiempo medio transcurrido entre la acción inicial de los atacantes y su primer intento (frecuentemente con éxito) de quebrantar el Directorio Activo (AD) fue de solo 11 horas. Los atacantes pueden tomar el control de la empresa con mucha más facilidad.
Principales grupos de ransomware. El grupo de ransomware más frecuentemente encontrado en 2024 fue Akira, seguido de Fog y LockBit (a pesar de su desmantelamiento a principios de año).
El tiempo de permanencia bajó a solo 2 días, debido en gran parte a servicios gestionados de detección y respuesta (MDR). En general, el tiempo de permanencia (el tiempo que transcurre desde el inicio de un ataque hasta que se detecta) disminuyó de 4 días a solo 2 en 2024, debido sobre todo a la incorporación de casos de MDR al conjunto de datos.
Tiempo de permanencia en casos de respuesta a incidentes (IR). El tiempo de permanencia se mantuvo estable en 4 días para los ataques de ransomware y en 11,5 días para los casos en los que no se había detectado el ciberataque.
Tiempo de permanencia en casos de servicios gestionados de detección y respuesta (MDR). En las investigaciones de MDR, el tiempo de permanencia fue de solo 3 días para los casos de ransomware y de solo 1 día para los casos en los no existía actividad de ransomware, lo que sugiere que los equipos de MDR son capaces de detectar y responder más rápidamente a los ataques.
Los grupos de ransomware trabajan durante la noche. En 2024, el 84% de los archivos binarios de ransomware se lanzaron fuera del horario laboral local de los objetivos.
El protocolo de escritorio remoto sigue dominando. El protocolo de escritorio remoto (RDP) estuvo implicado en el 84% de los casos de servicios gestionados de detección y respuesta (MDR)/respuesta a incidentes (IR), lo que lo convierte en la herramienta de Microsoft de la que más se abusa.