Los atacantes se centran cada vez más en la disrupción empresarial



Los intrusos de la pink permanecen sin ser detectados durante un promedio de 95 días, lo que les permite apuntar a sistemas críticos y perturbar más el negocio.

Según un informe que resume más de 300 investigaciones de incumplimiento, cada vez más ciberatacantes apuntan a grandes empresas con ataques sigilosos, con el objetivo de interrumpir significativamente los negocios y obligarlos a pagar rescates más altos.

El «Informe de las líneas del frente cibernético de los servicios CrowdStrike» encontró que el 36% de los incidentes tenían como objetivo interrumpir los negocios u operaciones. Si bien las empresas están mejorando en la detección de ataques con sus propias personas y sistemas (el 79% de los atacantes fueron descubiertos internamente, la tasa más alta en tres años), el número de días que los atacantes no fueron detectados aumentó a 95, en comparación con 85 días en 2018, descubrió CrowdStrike .

El resultado es que los atacantes maliciosos tienen más tiempo para atacar las operaciones y causar más interrupciones, dice Thomas Etheridge, vicepresidente de servicios de CrowdStrike.

«No todos estos actores de amenazas están implementando ransomware, pero estaban realmente enfocados en interrumpir la capacidad de la empresa para realizar negocios», dice. «Esa interrupción estuvo detrás de montos de rescate más altos y la decisión de pagar el rescate a menudo».

Los hallazgos del informe destacan cómo el ritmo constante de los titulares de ransomware del año pasado se convirtió en una tendencia. Desde los ataques coordinados en las ciudades de Texas hasta un enfoque en los distritos escolares locales, los informes de ataques de ransomware explotaron en 2019. Si bien algunos ataques han disminuido en número en algunas cuentas, los atacantes se centran en objetivos más grandes y amenazan con hacer un mayor daño. Llamada «caza mayor» por muchas empresas, la estrategia revisada se trata de minimizar el esfuerzo y maximizar el beneficio de la actividad prison.

«Ese tipo de acceso que tiene el atacante, realmente les da la flexibilidad para comprender dónde están los activos de datos críticos, qué enfoque van a tomar para cifrar esos activos, dónde se almacenan las copias de seguridad, y eso realmente pone al cliente en una desventaja «, dice Etheridge.

Si bien el aumento de los ataques disruptivos es el tema principal del informe de CrowdStrike, también se destacan otras tendencias. La compañía descubrió, por ejemplo, que una herramienta legítima para escanear tiendas de Lively Directory, conocida como Bloodhound, había sido cooptada por los atacantes para acelerar su movimiento a través de las redes.

La compañía también instó a las compañías a asegurar mejor sus servicios en la nube, especialmente la infraestructura de infraestructura como servicio (IaaS). Los atacantes ya están apuntando a las claves API, que se utilizan para permitir que los programas accedan e incorporen características de la nube.

«Las claves estáticas representan un riesgo significativo porque permiten un acceso duradero a grandes cantidades de datos a menudo sensibles», señala el informe. «En su lugar, use credenciales efímeras para la actividad automatizada en la nube y aplique el uso de estas credenciales solo desde el espacio de direcciones IP autorizadas».

Finalmente, las Mac ahora están en el menú para los atacantes, dice CrowdStrike.

«La creciente popularidad de los sistemas macOS en las organizaciones, combinada con la insuficiente gestión y supervisión de los puntos finales macOS, han convertido a los Mac en objetivos lucrativos para los actores de amenazas», señala el informe. «Una vez dentro de un entorno de víctimas, el equipo de Servicios ha observado que los actores de amenazas aprovechan las credenciales de usuario legítimas y las utilidades nativas de macOS para moverse lateralmente y persistir allí mientras evaden la detección».

En términos de ataques disruptivos, el sector de fabricación se encontró con la mayoría de las veces atacado con éxito por ransomware y otro malware que interrumpe el negocio, según Informe de CrowdStrike. La atención médica tuvo el segundo mayor número de incidentes disruptivos, seguido por organizaciones gubernamentales y empresas de tecnología de la información.

Los atacantes a menudo usaban ataques de phishing para el compromiso inicial, según descubrió la compañía. En poco más de un tercio de los casos (35%), los correos electrónicos o mensajes de spear phishing dieron a los atacantes acceso inicial a los sistemas de la víctima. Los atacantes también buscaron credenciales legítimas para permitirles moverse por las redes. Recopilar vertederos de credenciales e intentar descubrir cuentas fueron las técnicas de ataque número 1 y número 3.

Las empresas que despliegan un puñado de defensas podrían defenderse de muchos de los ataques detectados por CrowdStrike. La autenticación multifactor en todos los portales públicos, por ejemplo, evitará que los atacantes obtengan un acceso fácil a través de credenciales robadas. La segmentación de la red ayuda a evitar que los atacantes se muevan fácilmente por una crimson después de un compromiso.

«Estos métodos pueden ayudar a las organizaciones a mejorar su postura de seguridad», dice Etheridge. «Las organizaciones pueden detectar mejor a los atacantes en su entorno, por lo que esperamos que los atacantes sigan utilizando técnicas más sigilosas para aumentar su tiempo de permanencia».

Contenido relacionado:

Echa un vistazo a The Edge, la nueva sección de Darkish Reading through para obtener características, datos de amenazas y perspectivas en profundidad. La historia principal de hoy: «6 CISO de métricas únicas de InfoSec deberían rastrearse en 2020».

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Dark Reading through, MIT&#39s Technologies Evaluate, Common Science y Wired News. Cinco premios para el periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Más ideas





Enlace a la noticia first