El ransomware representa la mitad de todos los incidentes importantes



Las configuraciones incorrectas y la falta de visibilidad permiten a los atacantes comprometer las redes y monetizar sus intrusiones, según el análisis de CrowdStrike de unos 200 incidentes.

Los ataques de ransomware representaron la mayoría de las intrusiones cibernéticas graves este año, y representaron el 51% de todos los incidentes investigados por CrowdStrike en 2020, según el informe anual de análisis de incidentes de la compañía.

Los delitos de motivación financiera representaron el 63% de los más de 200 incidentes que la compañía investigó en nombre de clientes nuevos y existentes, afirma la firma en su informe «CrowdStrike Solutions Cyber ​​Front Traces». De ellos, el 81%, o el 51% de todos los incidentes, vio la implementación de ransomware o herramientas que generalmente resultan en una infección de ransomware, dice la compañía.

Los datos subrayan que los ciberdelincuentes han completado su cambio de dirección, desde ataques que se centran en robar información de identificación particular (PII) para vender en línea, hasta interrumpir las operaciones corporativas para obtener un rescate de seis o siete dígitos, dice Shawn Henry, presidente de CrowdStrike Responsable de servicios y seguridad de la empresa.

«El robo de datos es malo, pero lo que estamos viendo ahora, la interrupción de las operaciones y la destrucción de datos, es una dinámica completamente nueva y realmente crea preocupaciones críticas para las empresas», dice. «Hemos visto empresas cerradas durante semanas o meses, o al menos parte de su purple, … por lo que el impacto en las operaciones es significativamente más crítico que el robo de PII».

El análisis de CrowdStrike de los incidentes también revela que tanto los atacantes como los defensores se han vuelto más sofisticados. El número de días que los atacantes han podido operar dentro de la red de una víctima sin ser detectados, conocido como tiempo de permanencia, disminuyó a 79 días en 2020, en comparación con 95 días en 2019. Los defensores detectaron el 46% de los ataques en una semana después del compromiso. frente al 29% en 2019.

Sin embargo, las capacidades de los atacantes también mejoraron. Los ciberataques pudieron evadir las defensas antivirus en el 40% de los incidentes, y pasaron desapercibidos en otro 30% de los incidentes, porque el defensor había configurado mal el antivirus o no lo había configurado correctamente, CrowdStrike afirma en su informe.

«Estos datos resaltan … la necesidad no solo de comprar un producto de seguridad, sino de invertir realmente para garantizar una cobertura integral en su entorno y una configuración adecuada, ajustándolo e integrándolo en su programa de operaciones de seguridad para mitigar incluso los ataques más sofisticados», estados del informe.

El ransomware y su capacidad para interrumpir las operaciones ha convertido al ransomware en la amenaza más notoria que enfrentan las empresas, especialmente después de los ciberataques globales de WannaCry y NotPetya de 2017. Ahora, más de tres años después de que esos ataques causaron miles de millones de dólares en daños, el ransomware se ha convertido en el más común forma en que los atacantes intentan monetizar un compromiso.

En 2020, los grupos de ransomware se volvieron mucho más agresivos, expandiendo sus tácticas de robo de datos y luego publicando la información si el objetivo no pagaba. Los ciberdelincuentes publicaron información extraída por más de 500 empresas solo en el tercer trimestre de 2020, según CrowdStrike.

Los ataques investigados por CrowdStrike también continúan eliminando malware comercial y a medida en favor del uso de herramientas administrativas que pueden estar ya en el sistema. La cantidad de ataques que usan solo malware disminuyó del 49% en 2019 al 42% en 2020, mientras que los ataques que no usan malware aumentaron al 24% desde el 22% en 2019.

Detectar los ataques se ha vuelto más difícil porque más analistas de seguridad también están trabajando desde casa, afirma la compañía. En un informe anterior, CrowdStrike descubrió que el 56% de los profesionales de seguridad informaron haber trabajado desde casa con más frecuencia durante la pandemia. Las empresas han reaccionado pasando de la seguridad basada en las instalaciones a los servicios de seguridad en la nube, dice la compañía.

El informe CrowdStrike también sugiere que los atacantes siguen regresando para apuntar a las mismas empresas, y el 68% de las organizaciones enfrentan un segundo ataque dentro de los 12 meses posteriores a su incidente inicial. Si bien Estados Unidos ha comenzado a ser más proactivo en la interrupción de las actividades de los atacantes bajo su doctrina Protect Ahead, hasta que los operadores cibernéticos sean arrestados, continuarán aprendiendo de sus ataques fallidos, dice Henry, un ex agente especial del FBI.

«La seguridad de la información no es diferente a la seguridad física», dice. «Si piensas en el mundo físico, y tienes ladrones de bancos, seguirán adelante hasta que los atrapen. Es related aquí con estos actores. Hasta que realmente detengas a los actores, esto continuará».

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Dark Reading, MIT&#39s Know-how Critique, Preferred Science y Wired Information. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique