El tiempo de permanencia world-wide cae como ataques de ransomware …



El tiempo que los atacantes permanecen sin descubrir en una red objetivo se ha reducido a 24 días, informan los investigadores, pero el ransomware juega un papel importante.

Los atacantes pasan menos tiempo dentro de las redes de destino, informan los investigadores, pero la tendencia aparentemente positiva oculta un desarrollo preocupante: los ataques de ransomware, que por naturaleza tienen un «tiempo de permanencia» más corto, se están volviendo más comunes y eficientes, reduciendo el período de tiempo promedio para todos. ataques.

En su informe de amenazas M-Developments de 2021, los investigadores de Mandiant señalan que el tiempo de permanencia medio world-wide, o la cantidad de días que un atacante está en un entorno antes de la detección, se redujo a 24 días. Si bien el tiempo medio de permanencia se ha reducido constantemente de 416 días en 2011, el número de este año marca una caída notable, dice Steven Stone, director senior de prácticas avanzadas en Mandiant.

«La mitad del tiempo de permanencia desapareció en comparación con el año pasado», señala. El informe 2020 M-Traits encontró un tiempo de permanencia medio world-wide de 56 días, lo que hace que el número de este año sea «una caída significativa».

Esta disminución podría explicarse por varios factores, incluida la mejora continua en las capacidades de detección de amenazas, nuevas políticas y presupuestos de seguridad más altos. Sin embargo, el panorama de los ataques juega un papel fundamental. A medida que el tiempo de permanencia disminuyó el año pasado, la cantidad de casos de ransomware aumentó: el veinticinco por ciento de las investigaciones de Mandiant involucraron ransomware, un fuerte aumento del 14% en 2019.

Un desglose del tiempo de permanencia por tipo de ataque es más revelador. El tiempo medio de permanencia para las investigaciones sin ransomware fue de 45 días para las investigaciones de ransomware, fueron solo cinco. Estas métricas combinadas redujeron el tiempo de permanencia medio global a su nuevo mínimo de 24 días.

A medida que los investigadores ven más ransomware, esperan que el tiempo de permanencia continúe reduciéndose. Después de todo, los atacantes que implementan ransomware no quieren permanecer ocultos por mucho tiempo.

«Estamos viendo intrusiones de ransomware … pasar al ransomware mucho, mucho más rápido que en años anteriores», señala Stone. «Creemos que es claramente un component que contribuye».

En el pasado, los operadores de ransomware intentaban entrar en un entorno objetivo y normalmente pasaban más tiempo tratando de entenderlo antes de implementar ransomware al final. Ahora se mueven rápidamente a través del ciclo de ataque. Muchos han adoptado la técnica de la «extorsión multifacética», en la que también amenazan con publicar datos robados si el rescate no se paga a tiempo.

Parece que los atacantes se sienten más cómodos con el ransomware en comparación con otras formas de monetización. Esto, combinado con pagos cada vez más altos, es una mala noticia para los defensores. Los operadores de ransomware de hoy se sienten más cómodos negociando sumas más altas.

«Hablamos de intrusión como si fuera una máquina, pero en última instancia son personas, y las personas tienden a hacer lo que les resulta más cómodo», explica Stone. «Necesitan un mecanismo para monetizar la intrusión y, a medida que aprenden más y más sobre cómo hacer eso con ransomware año tras año, se sienten más cómodos en ese espacio».

¿Qué más hay en los kits de herramientas de los atacantes?
Por supuesto, el ransomware no es la única amenaza de los investigadores de Mandiant investigado el año pasado. Sus respuestas a una variedad de intrusiones de seguridad arrojaron varias observaciones, incluida una preferencia por los exploits (29%) sobre los ataques de phishing (23%) como vector de infección inicial. Otros vectores comunes incluyeron credenciales robadas o fuerza bruta (19%) junto con un compromiso previo (12%).

«Definitivamente nos llama la atención», dice Stone sobre el aumento de las hazañas. «En todo caso, estamos viendo que esa tendencia se acelera actualmente». Los investigadores ya llevan dos trimestres completos en lo que será el próximo informe de M-Tendencies, «y en realidad estamos viendo más exploits que cuando escribimos este informe».

Hubo un momento en que los exploits dominaban, explica, pero comenzaron a disminuir a medida que aumentaban los ataques de phishing. Ahora «han vuelto con ganas de venganza», dice. Si bien los investigadores no están seguros de qué está impulsando la tendencia, Stone señala que el uso de exploits es diferente de lo que era en el pasado. Continuamente caen más exploits y hay más grupos que se aprovechan de ellos.

«En el pasado, normalmente veíamos un exploit dirigido por un grupo de alto nivel … ahora verás un exploit y verás una variedad de grupos en un período de tiempo muy rápido, ya sea usándolo o convirtiéndolo una vez que esté disponible. público «, añade.

La presencia de herramientas de seguridad ofensivas en los arsenales de los atacantes fue otra tendencia dominante. Beacon, una puerta trasera disponible comercialmente como parte de la plataforma Cobalt Strike, se vio en el 24% de los incidentes. Empire, un marco de post-explotación de PowerShell disponible públicamente, se vio en un 8%. Completando los cinco primeros se encontraban Maze ransomware (5%), Netwalker ransomware (4%) y la plataforma de prueba de lápiz Metasploit (3%).

Cuando no utilizan herramientas disponibles públicamente, los atacantes dependen de las desarrolladas de forma privada: el 78% de las familias de malware utilizadas en los ataques eran privadas el resto = eran públicos. La tendencia es constante entre los grupos más avanzados y los atacantes menos calificados, explica Stone. Muchas de estas herramientas son fáciles de usar, reduciendo el costo de entrada y empoderando a los atacantes.

«Estamos viendo que varios grupos de habilidades de nivel inferior implementan malware personalizado junto con estas herramientas públicas», dice. «Eso hace que la respuesta a incidentes sea muy desafiante y creo que las organizaciones deben estar preparadas para eso».

Uno de los grupos que united states Cobalt Strike Beacon es UNC2452, el nombre que Mandiant le ha dado al grupo detrás del ataque a la cadena de suministro que involucró un implante en la plataforma Orion de SolarWinds. Este es «posiblemente el grupo más avanzado con el que hemos tratado», dice Stone, y el hecho de que esté implementando Beacon es muy preocupante.

Si bien las organizaciones enfrentan nuevas amenazas, el proceso de preparación para este tipo de ataques no ha cambiado, continúa.

«Esté preparado para una intrusión. Esté preparado para tomar decisiones inteligentes basadas en las amenazas reales que está viendo», dice Stone.

Un ataque de un grupo como UNC2452 y un ataque de ransomware son intrusiones muy diferentes, dice, y las organizaciones deben responder y remediar de manera diferente. Deben ser capaces de tomar la decisión correcta para una amenaza en individual, en lugar de un enfoque de «talla única».

Kelly Sheridan es la editora de personal de Dim Reading, donde se centra en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary