Ciberataques a través de aplicaciones confiables crecieron un 51%

Los ciberdelincuentes están utilizando aplicaciones y herramientas reconocidas como “de confianza” en sistemas Windows –llamadas binarios living off the land (LOLbins)– para realizar exploraciones en los sistemas y mantener la persistencia, y el abuso de LOLbins ha aumentado 51 % en 2024, en comparación con 2023 (y 83 % desde 2021). Así lo dio a conocer un análisis de la empresa de servicios de ciberseguridad Sophos, titulado "La Mordida Desde Adentro: El Informe de Sophos sobre Adversarios Activos".

Entre los 187 LOLbins únicos de Microsoft detectados en la primera mitad del año, la aplicación confiable más utilizada fue el protocolo de escritorio remoto (RDP); en el análisis de casi 200 casos de IR, los atacantes abusaron de RDP en el 89 % de ellos. Esta tendencia continúa la observada en el informe de adversarios activos de 2023, en el que el abuso de RDP se detectó en el 90 % de los casos investigados.

“El uso de herramientas living-off-the-land no solo ofrece sigilo a las actividades de un atacante, sino que también parece validar tácitamente estas acciones. Mientras que el abuso de algunas herramientas legítimas puede levantar sospechas y generar alertas, el abuso de un binario de Microsoft suele tener el efecto contrario. Muchas de estas herramientas de Microsoft son fundamentales para Windows y tienen usos legítimos, pero depende de los administradores de sistemas comprender cómo se utilizan en sus entornos y qué constituye abuso. Sin una conciencia contextual y matizada del entorno, incluidas la vigilancia continua de nuevos eventos en la red, los equipos de TI sobrecargados corren el riesgo de no detectar actividades clave que, a menudo, derivan en ransomware”, comenta John Shier, CTO de campo en Sophos.

Además, el informe descubrió que, a pesar de la desarticulación por parte del gobierno de su principal sitio web de filtraciones y e infraestructura en febrero, LockBit fue el grupo de ransomware más frecuentemente encontrado, representando aproximadamente el 21 % de las infecciones en la primera mitad de 2024.

Otros hallazgos clave del informe de adversarios activos fueron:

• Causa raíz de los ataques: Continuando con la tendencia observada en el informe anterior para líderes tecnológicos, las contraseñas comprometidas siguen siendo la principal causa raíz de los ataques, representando el 39 % de los casos. Sin embargo, esto supone una disminución respecto al 56 % registrado en 2023.
• Dominio de las brechas de red en MDR: En los casos gestionados por el equipo MDR de Sophos, las brechas de red fueron el incidente más común encontrado.
• Tiempos de permanencia más cortos en MDR: En los casos gestionados por el equipo de Respuesta a Incidentes de Sophos, el tiempo de permanencia (tiempo desde el inicio de un ataque hasta su detección) se mantuvo en aproximadamente ocho días. En cambio, con MDR, el tiempo de permanencia medio fue de solo un día para todos los tipos de incidentes, y de tres días para ataques de ransomware.
• Servidores de Active Directory comprometidos cerca del fin de su vida útil: Los servidores de Directorio Activo más frecuentemente comprometidos fueron las versiones 2019, 2016 y 2012. Estas versiones ya no cuentan con soporte principal de Microsoft y están próximas a llegar al fin de su vida útil (EOL). Además, el 21 % de los servidores AD comprometidos ya se encontraban en estado EOL.

El reporte de Sophos se basó en datos recopilados de casi 200 casos de respuesta a incidentes de ciberseguridad (IR) realizados por los equipos de Sophos X-Ops IR y Sophos X-Ops Managed Detection and Response (MDR).