Según el último informe de análisis de respuesta a incidentes de Kaspersky, más de la mitad (53,6%) de los ciberataques en 2021 comenzaron con la explotación de vulnerabilidades. Otros métodos de ataque iniciales comunes fueron las cuentas comprometidas y los correos electrónicos maliciosos.
Cuando los atacantes planifican sus campañas, suelen buscar problemas de seguridad fácilmente identificables, como servidores públicos con vulnerabilidades conocidas, contraseñas deficientes o cuentas comprometidas. Año tras año, estos vectores de acceso iniciales han dado lugar a un número creciente de incidentes de ciberseguridad de alta gravedad.
El análisis de los datos anónimos de los casos de respuesta a incidentes gestionados por el Equipo Global de Respuesta a Emergencias (GERT) de Kaspersky de todo el mundo demuestra que la explotación de las aplicaciones libres, accesibles tanto desde la red interna como desde Internet, se ha convertido en el vector inicial más utilizado para penetrar en el perímetro de una organización[1]. La utilización de este método como vector de ataque inicial ha aumentado del 31,5% en 2020 al 53,6% en 2021, mientras que el uso de cuentas comprometidas y correos electrónicos maliciosos ha disminuido del 31,6% al 17,9%, y del 23,7% al 14,3%, respectivamente. Este cambio probablemente está ligado a las vulnerabilidades descubiertas en los servidores Microsoft Exchange el año pasado. La ubicuidad de este servicio de correo y la disponibilidad pública de los exploits para estas vulnerabilidades han dado lugar a un gran número de incidentes relacionados.
En cuanto al impacto de los ataques, el cifrado de archivos, que es uno de los tipos de ransomware más comunes y que priva a las organizaciones del acceso a sus datos, se ha mantenido como el principal problema al que se enfrentan las empresas durante tres años consecutivos. Además, el número de organizaciones que se encontraron con criptos en su red aumentó significativamente durante el período analizado (del 34% en 2019 al 51,9% en 2021). Otro aspecto alarmante es que en bastante más de la mitad de los casos (62,5%), los atacantes pasan más de un mes dentro de la red antes de cifrar los datos.
Los delincuentes consiguen pasar desapercibidos dentro de una infraestructura en gran medida gracias a las herramientas del sistema operativo, las herramientas ofensivas conocidas y el uso de estructuras comerciales, que están implicados en el 40% de todos los incidentes. Tras la penetración inicial, los atacantes utilizan herramientas legítimas para diferentes fines: PowerShell para recopilar datos, Mimikatz para escalar privilegios, PsExec para ejecutar comandos de forma remota o frameworks como Cobalt Strike para todas las fases del ataque.
«Nuestro informe demuestra que una política adecuada de gestión de parches puede reducir por sí sola la probabilidad de éxito de un ataque en un 50%. Esto confirma una vez más la necesidad de medidas básicas de ciberseguridad. Al mismo tiempo, ni siquiera la aplicación más exhaustiva de dichas medidas puede garantizar una defensa infalible», comenta Konstantin Sapronov, Jefe del Equipo Global de Respuesta a Emergencias. «Dado que los atacantes recurren a diversos métodos maliciosos, la mejor manera de proteger a su organización es utilizar herramientas y enfoques que permitan advertir y detener la acción de los adversarios a lo largo de las diferentes etapas de un ataque».
Para minimizar el impacto de un ataque en caso de emergencia se recomienda:
- Hacer una copia de seguridad de sus datos para poder seguir accediendo a los archivos cruciales en caso de un ataque de ransomware y utilice soluciones capaces de bloquear cualquier intento de cifrado de sus datos.
- Trabajar con un socio de confianza de Respuesta a Incidentes para abordar los incidentes con acuerdos de nivel de servicio (SLA) rápidos.
- Formar continuamente a su equipo de respuesta a incidentes para mantener su experiencia y estar al día con el cambiante panorama de las amenazas.
- Implantar programas de seguridad estrictos para las aplicaciones con información personal identificable.
- Comprender los perfiles de los atacantes que apuntan a su industria y región para priorizar el desarrollo de las operaciones de seguridad.
- Implantar una solución de detección y respuesta endpoint con un servicio de detección y respuesta gestionado para detectar y reaccionar rápidamente ante los ataques, entre otras características.