Según el reciente informe de análisis de respuesta a incidentes de Kaspersky, el 51,9% de las organizaciones encuestadas en 2021 encontraron ransomware en sus redes, un aumento significativo en comparación con 2020 cuando la cifra fue del 34%. El informe también reveló que más de la mitad (53,6%) de los ciberataques en 2021 comenzaron con la explotación de vulnerabilidades en programas obsoletos. Ante estas dificultades de seguridad en las empresas, Kaspersky ofrece soluciones sencillas para reducir las posibilidades de un ataque y prevenir un incidente antes de que este se produzca.
Cuando los atacantes planifican sus campañas, generalmente buscan una puerta de entrada fácil, como los servidores públicos con vulnerabilidades conocidas, cuentas con contraseñas débiles, correos electrónicos maliciosos, o cuentas con credenciales robadas (cuentas comprometidas).Año tras año, estos vectores de acceso inicial han dado lugar a un número creciente de incidentes de ciberseguridad de alta gravedad.
El análisis de datos anónimos de casos de respuesta a incidentes manejados por el Equipo Global de Respuesta a Emergencias (GERT, por sus siglas en inglés) de Kaspersky demuestra que la explotación de aplicaciones públicas, accesibles tanto desde la red interna como desde Internet, se ha convertido en el vector inicial más utilizado para penetrar el perímetro de una organización. La participación de este método como vector de ataque inicial aumentó del 31,5% en 2020 al 53,6% en 2021, mientras que el uso de cuentas comprometidas y correos electrónicos maliciosos disminuyó del 31,6% al 17,9% y del 23,7% al 14,3%, respectivamente. Es probable que este cambio esté relacionado con las vulnerabilidades descubiertas en los servidores de Microsoft Exchange el año pasado. La ubicuidad de este servicio de correo y la disponibilidad pública de exploits para estas vulnerabilidades han resultado en una gran cantidad de incidentes relacionados.
Otro aspecto evaluado por el informe muestra como el cifrado de archivos, uno de los tipos de ransomware más comunes que priva a las organizaciones del acceso a sus datos, sigue siendo el principal problema que enfrentan las empresas por tres años consecutivos. Además, la cantidad de organizaciones que encontraron este tipo de malware en sus redes aumentó significativamente durante el período observado (de 34% en 2019 a 51,9 % en 2021). Otro aspecto alarmante es que en más de la mitad de los casos (62,5%), los atacantes pasan más de un mes dentro de la red antes de cifrar los datos.
Los adversarios logran pasar desapercibidos dentro de una infraestructura en gran parte porque utilizan herramientas legítimas del sistema operativo, herramientas ofensivas conocidas y el uso de marcos comerciales, los cuales están involucrados en el 40% de todos los incidentes. Después de la penetración inicial en la red, los atacantes usan herramientas legítimas para diferentes propósitos: PowerShell para recopilar datos, Mimikatz para escalar privilegios, PsExec para ejecutar comandos de forma remota o marcos como Cobalt Strike para todas las etapas del ataque.
‘Nuestro informe demuestra que una política de administración de parches adecuada por sí sola puede reducir la probabilidad de un ataque exitoso en un 50%. Esto confirma una vez más la necesidad de medidas básicas de ciberseguridad. Al mismo tiempo, hasta la implementación más completa de tales medidas no puede garantizar una defensa intransigente’, comenta Konstantin Sapronov, Jefe del Equipo Global de Respuesta a Emergencias en Kaspersky. ‘Dado que los adversarios recurren a varios métodos maliciosos, la mejor manera de proteger su organización es utilizando herramientas y enfoques que permitan detectar y detener la acción adversaria a lo largo de las diferentes etapas de un ataque’.
