¿Podría suponer cuántos ciberataques se realizaron en el 2022? ¿O cuáles fueron las herramientas más utilizadas por los hackers para infiltrarse en las infraestructuras de TI?
Según un reciente informe de Sophos, tanto técnicos como ciberdelincuentes aumentan cada vez más sus esfuerzos. Resulta que de 150 casos estudiados; el 68% de los ataques fueron de ransomware, mientras que el restante de los ataques se reparten entre violaciones a la red, filtraciones de datos y otros.
En este mismo informe de Sophos, el ransomware ha liderado la lista por tres años seguidos y va en constante aumento.
¿Qué ha sucedido con estos ataques?
Si bien las cifras de ciberataques son altas, gran cantidad de estos realmente nunca llegan a la etapa de ransomware o robo de datos; una hipótesis que arroja Sophos tras su investigación es que una reacción rápida ante el posible ataque impide su ejecución.
Incluso con acciones de prevención frente a ciberataques, es importante identificar la causa raíz. En este mismo documento vemos que el 37% de los ataques se atribuyen a vulnerabilidades que la infraestructura TI puede tener, y al igual que el ransomware, es a razón que ha liderado la lista por los últimos tres años.
Otras razones por revisar son las credenciales comprometidas, documentos maliciosos, los ataques de fuerza bruta y el phishing.
También se destaca a los binarios Living off the Land (LOLBins): ejecutables que se encuentran dentro de los sistemas operativos Windows y que pueden ser utilizados por los hackers para convertirlos en malware. El hecho de que sean aplicaciones naturales en los SO hace que combatirlos sea mucho más difícil.
PowerShell es uno de estos LOLBins; de hecho, de los ejecutables más frecuentemente atacados, es el que lidera al ser la interfaz más eficaz de configuración, administración y automatización de tareas multiplataforma en Windows. Algunos otros LOLBins usados con frecuencia por los hackers son:
-
cmd.exe
-
PsExec
-
Task Scheduler
-
net.exe
-
rundll32.exe
-
WMI
¿Podemos identificar las herramientas que se utilizan para atacar?
Seguinfo aclaró en esta publicación que para 2022 fueron usadas más de 500 herramientas que funcionaron como medio para los ciberataques. ¿Es realmente posible detenerlas?
Si bien se usaron 204 herramientas de hacking, 118 contenedores LOLB y 202 artefactos únicos que incluyen tácticas reconocidas por MITRE ATT&CK, para un total de 524 técnicas de ciberataques, intentar frenar cada uno de ellos resulta imposible e ineficiente.
Más allá de relajarnos y tener un software milagroso que identifique el malware y lo detenga, es importante poder detectar cuando existen vulnerabilidades sin parchear.
Sophos nos indica dos de ellas que son vitales: ProxyShell y Log4Shell. Ambas vulnerabilidades se encontraban sin parchar desde 2021 en los casos de los ciberataques estudiados.
También debemos recordar que la mayoría de ataques son ocasionados por la desinformación o la ignorancia de los usuarios que interceden en la red. Encontramos casos como instalaciones indebidas, ejecución de script malicioso, navegación por la red en sitios web no seguros e incluso errores técnicos como lo serían eliminar, modificar y crear logs y cuentas.
Adiós, datos… ¿o no?
Desde un inicio tocamos el tema de que tanto la ciberseguridad como los ciberdelitos han estado en constante crecimiento al reforzar cada uno sus propias técnicas de defensa y ataque. Sabemos que hace todo lo posible para que su red no se infecte o sea atacada, ¿cómo estar seguros de que así será?
Terminemos con un último dato, dentro de la investigación en la que se basó este blog, el 55% de los casos confirmados con ransomware terminaron en robo de datos. Sin embargo, el 47% de estos casos, no mostró ninguna evidencia concluyente frente a la filtración de los datos: los registros no muestran la totalidad de los eventos, ya sea porque faltaban o estaban incompletos.
Esto puede indicar dos cosas: realmente no pasó nada más allá de lo que muestran los registros (que sería el escenario menos negativo) o que existió un robo mayor de información del que el equipo de ciberseguridad no se ha enterado. Esta opción final, con el único propósito de venderlo a otro ciberdelincuente de manera privada.
Si bien la tecnología sigue avanzando a favor de la protección de la información, debemos reconocer que nadie está a salvo. Ser ciberconsciente es un buen paso frente a los errores humanos y aprovechar las herramientas actuales en su mayor potencial es un buen escudo frente a las técnicas más avanzadas.
¿Necesita saber qué herramienta de ciberseguridad se ajusta mejor a su infraestructura TI? Encuentre aquí todo lo que necesita saber sobre SIEM, UEBA, gestión de vulnerabilidades y mucho más.