Kaspesky reveló en su último informe de análisis de respuesta a incidentes que el 51,9% de las organizaciones encuestadas en 2021 encontraron ransomware en sus redes, un número significativo si lo comparamos con los resultados del 2020, que fueron del 34%.
Además, el informe demostró que el 53,6% de los ciberatacantes comenzaron con la explotación de vulnerabilidades en programas obsoletos en 2021. Frente a esto, Kaspersky ofrece soluciones de seguridad para evitar ciberataques y prevenir incidentes.
Al momento de realizar un ciberataque, aquellos que lo planifican eligen penetrar por algún punto vulnerable, como servidores públicos con vulnerabilidades conocidas, cuentas con contraseñas débiles, correos electrónicos maliciosos, o cuentas con credenciales robadas.
El análisis de datos anónimos de casos de respuesta a incidentes manejados por el Equipo Global de Respuesta a Emergencias de Kaspersky reveló que la explotación de aplicaciones públicas, accesibles tanto desde la red interna como desde Internet, se ha convertido en el vector inicial más utilizado para penetrar el perímetro de una organización. La participación de este método como vector de ataque inicial aumentó del 31,5% en 2020 al 53,6% en 2021, mientras que el uso de cuentas comprometidas y correos electrónicos maliciosos disminuyó del 31,6% al 17,9% y del 23,7% al 14,3%, respectivamente. Es probable que este cambio esté relacionado con las vulnerabilidades descubiertas en los servidores de Microsoft Exchange el año pasado. La ubicuidad de este servicio de correo y la disponibilidad pública de exploits para estas vulnerabilidades han resultado en una gran cantidad de incidentes relacionados.
Siguiendo con los resultados obtenidos en el informe, el cifrado de archivos continúa siendo el problema principal con el que deben lidiar las empresas. En más de la mitad de los casos (62,5%), los atacantes pasan más de un mes dentro de la red antes de cifrar los datos.
Los ciberatacantes pueden colarse en los sistemas de las empresas utilizando herramientas legítimas del sistema operativo, herramientas ofensivas conocidas y el uso de marcos comerciales, los cuales están involucrados en el 40% de todos los incidentes. Luego de la penetración inicial, comienzan a utilizar herramientas legítimas para distintos propósitos, como PowerShell para recopilar datos, Mimikatz para escalar privilegios, PsExec para ejecutar comandos de forma remota o marcos como Cobalt Strike para todas las etapas del ataque.
«Nuestro informe demuestra que una política de administración de parches adecuada por sí sola puede reducir la probabilidad de un ataque exitoso en un 50%. Esto confirma una vez más la necesidad de medidas básicas de ciberseguridad. Al mismo tiempo, hasta la implementación más completa de tales medidas no puede garantizar una defensa intransigente”, comenta Konstantin Sapronov, Jefe del Equipo Global de Respuesta a Emergencias en Kaspersky. “Dado que los adversarios recurren a varios métodos maliciosos, la mejor manera de proteger su organización es utilizando herramientas y enfoques que permitan detectar y detener la acción adversaria a lo largo de las diferentes etapas de un ataque”.
Con el fin de minimizar los daños de un ciberataque, desde Kaspersky recomiendan:
- Capacite continuamente a su equipo de respuesta a incidentes para conservar su experiencia y mantenerlos al día con el cambiante panorama de amenazas.
- Implemente estrictos programas de seguridad para aplicaciones con información de identificación personal.
- Utilice una solución de detección y respuesta para endpoints con un servicio de Detección y Respuesta Administrada para detectar y reaccionar ante ataques de manera oportuna, entre otras características.
- Conozca los perfiles de los adversarios que apuntan a su industria y región para priorizar el desarrollo de operaciones de seguridad.
- Realice una copia de seguridad de sus datos para poder acceder a archivos cruciales en caso de un ataque de ransomware y utilice soluciones capaces de bloquear cualquier intento de cifrado de sus datos.
- Trabaje con un socio confiable de ⦁ retención de respuesta a incidentes para abordar incidentes con acuerdos de nivel de servicio (SLA) rápidos.