Los ciberdelincuentes desactivan los registros de telemetría para ocultar su rastro

17/11/2023

Sophos ha hecho público el informe Active Adversary Report for Security Practitioners durante el Sophos Day 2023, celebrado en el Museo Reina Sofía ante más de 400 asistentes. El estudio revela cómo los atacantes están desactivando o borrando los registros de telemetría (todos los datos y registros de los movimientos llevados a cabo dentro de la red) para ocultar su rastro, ya que estos registros de telemetría faltaban en casi el 42% de los ataques estudiados, mientras que en el 82%, los atacantes los había eliminado a propósito para dificultar su captura.

Las brechas en la telemetría disminuyen la visibilidad tan necesaria en las redes y sistemas de las empresas, especialmente porque el tiempo de permanencia del atacante (el que transcurre desde el acceso inicial hasta la detección) continúa disminuyendo, acortando el tiempo que los responsables de seguridad tienen para responder eficazmente a un incidente.

El informe Sophos Active Adversary Report, basado en 232 casos reales realizados por el equipo de Respuesta a Incidentes (IR) de Sophos en 25 sectores desde el 1 de enero de 2022 hasta el 30 de junio de 2023, revela las tendencias en el comportamiento de los ciberdelincuentes:

Los expertos de Sophos clasifican los ataques de ransomware en el informe en "ataques rápidos” —con un tiempo de permanencia de los atacantes en la red de la víctima inferior o igual a cinco días, que representan el 38% de los ataques estudiados—, y "ataques lentos” —con un tiempo de permanencia superior a cinco días, lo que ocurre en la mayoría (62%) de los casos analizados—.

En cuanto a las herramientas, técnicas y binarios "living-off-the-land" (LOLBins) que desplegaron los atacantes, no hay mucha variación entre ataques rápidos y lentos. Esto sugiere que no es necesario reinventar las estrategias defensivas para frenar esos ataques, aunque los ataques rápidos y la falta de telemetría puede obstaculizar enormemente los tiempos de respuesta y, en consecuencia, conllevar más destrucción.

El tiempo de permanencia, desde el inicio de un ataque hasta que se detecta, continúa reduciéndose, situándose en ocho días en la primera mitad de 2023. En 2022, el tiempo medio de permanencia disminuyó de 15 a 10 días.

Los atacantes tardan menos de un día, aproximadamente 16 horas, en llegar a Active Directory (AD), el activo más importante de las empresas. AD normalmente gestiona la identidad y el acceso a los recursos en toda una organización, lo que significa que los atacantes pueden utilizar AD para escalar fácilmente sus privilegios en un sistema y llevar a cabo una amplia gama de actividades maliciosas.

La gran mayoría de los ataques de ransomware se producen fuera del horario laboral. Casi la mitad (43%) de los ataques de ransomware se detectaron el viernes o el sábado.

Los ciberdelincuentes desactivan los registros de telemetría para ocultar su rastro

Deja un comentario

Para poder hacer comentarios y participar en el debate debes identificarte o registrarte en nuestra web.

Fundación Cibervoluntarios defiende en la ONU la soberanía digital ciudadana para un desarrollo tecnológico ético e inclusivo

Check Point Software alerta del auge de ciberataques contra agentes de IA

Entrevista a Marta Díaz del Hoyo, Regional Sustainability for Western, Eastern and Central Europe ESG en TÜV Rheinland Europe

Nace CYBERCAT-VALTEC para impulsar la transferencia de conocimiento en ciberseguridad hacia el tejido empresarial catalán