Sophos presentó “La Mordida Desde Adentro: El Informe de Sophos sobre Adversarios Activos“, un análisis detallado sobre el comportamiento cambiante y las técnicas de ataque utilizadas por los ciberdelincuentes durante la primera mitad de 2024. Los datos, recopilados de casi 200 casos de respuesta a incidentes de ciberseguridad (IR) realizados por los equipos de Sophos X-Ops IR y Sophos X–Ops Managed Detection and Response (MDR), revelan que los ciberdelincuentes están utilizando aplicaciones y herramientas reconocidas como apps de confianza en sistemas Windows, llamadas binarios living off the land (LOLbins), para realizar exploraciones en los sistemas y mantener la persistencia. Comparado con 2023, Sophos detectó un aumento del 51% en el abuso de LOLbins; desde 2021, el incremento es del 83%.
Entre los 187 LOLbins únicos de Microsoft detectados en la primera mitad del año, la aplicación confiable más utilizada fue el protocolo de escritorio remoto (RDP). En el análisis de casi 200 casos de IR, los atacantes abusaron de RDP en el 89% de ellos. Esta tendencia continúa la observada en el informe de adversarios activos de 2023, en el que el abuso de RDP se detectó en el 90% de los casos investigados.
“El uso de herramientas living-off-the-land no solo ofrece sigilo a las actividades de un atacante, sino que también parece validar tácitamente estas acciones. Mientras que el abuso de algunas herramientas legítimas puede levantar sospechas y generar alertas, el abuso de un binario de Microsoft suele tener el efecto contrario”, comentó John Shier, CTO de campo en Sophos. Además, mencionó que muchas de estas herramientas de Microsoft son fundamentales para Windows y tienen usos legítimos, pero que depende de los administradores de sistemas comprender cómo se utilizan en sus entornos y qué constituye abuso.
Además, el informe descubrió que, a pesar de la desarticulación por parte del gobierno del principal sitio web de filtraciones y de la infraestructura de LockBit en febrero, este fue el grupo de ransomware más frecuentemente encontrado, representando aproximadamente el 21% de las infecciones en la primera mitad de 2024.
Otros de los hallazgos del informe señalan que las contraseñas comprometidas siguen siendo la principal causa de los ataques, representando el 39% de los casos. Además, destacó que los tiempos de permanencia en MDR fue de solo un día para todos los tipos de incidentes y de tres días para los ataques de ransomware.
Autor
