LockBit es el grupo de ransomware con más casos detectados por el equipo de Respuesta a Incidentes en la primera mitad de 2024, a pesar de la interrupción de sus operaciones por parte del gobierno

MADRID, Spain — Diciembre 17, 2024 —

 Sophos, líder mundial en innovación y ciberseguridad como servicio, publica el informe “The Bite from Inside: The Sophos Active Adversary Report”, una mirada en profundidad a los comportamientos cambiantes y las técnicas de ataque que los adversarios utilizaron en la primera mitad de 2024. Los datos, derivados de casi 200 casos de respuesta a incidentes (IR) tanto del equipo IR de Sophos X-Ops como del equipo Managed Detection and Response (MDR) de Sophos X-Ops, revelan que los atacantes están aprovechando aplicaciones y herramientas de confianza en sistemas Windows, comúnmente llamados binarios “living off the land”, para realizar exploraciones en los sistemas y mantener la persistencia. Cuando se compara con 2023, Sophos ha detectado un aumento del 51% en el abuso de binarios “living off the land” o LOLbins. Desde 2021, este aumento ha sido de un 83%. Entre los 187 LOLbins únicos de Microsoft detectados en la primera mitad del año, la aplicación de confianza de la que más se abusó fue el Protocolo de Escritorio Remoto (RDP). De los casi 200 casos de IR analizados, los atacantes abusaron de RDP en el 89% de ellos. Este predominio continúa una tendencia observada por primera vez en el Active Adversary Report 2023, en el que el abuso de RDP fue frecuente en el 90% de todos los casos de IR investigados.

Living off the land no sólo ofrece discreción a las actividades de un atacante, sino que también proporciona un respaldo tácito a sus actividades. Mientras que abusar de algunas herramientas legítimas puede levantar las cejas de algunos defensores, y con suerte algunas alertas, abusar de un binario de Microsoft a menudo tiene el efecto contrario. Muchas de estas herramientas de Microsoft de las que se abusa son parte integral de Windows y tienen usos legítimos, pero depende de los administradores de sistemas entender cómo se utilizan en sus entornos y qué constituye un abuso. Sin un conocimiento matizado y contextual del entorno, que incluya una vigilancia continua de los sucesos nuevos y en desarrollo dentro de la red, los equipos de TI actuales corren el riesgo de pasar por alto actividades de amenazas clave que a menudo conducen al ransomware”, afirma John Shier, CTO Field en Sophos.

Además, el informe ha descubierto que, a pesar de que el gobierno interrumpió la actividad del sitio web principal de filtraciones y la infraestructura de LockBit en febrero, LockBit ha sido el grupo de ransomware con más ataques detectados, representando aproximadamente el 21% de las infecciones en la primera mitad de 2024.

Otras conclusiones clave del último Active Adversary Report:

  • Causa principal de los ataques: continuando con una tendencia que se observó por primera vez en el Active Adversary Report for Tech Leaders, las credenciales comprometidas siguen siendo la causa principal de los ataques, representando el 39% de los casos. Sin embargo, este porcentaje es inferior al 56% observado en 2023.
  • Las brechas en la red dominan el MDR. Al examinar únicamente los casos del equipo de MDR de Sophos, las brechas en la red fueron el incidente dominante con el que se enfrentó el equipo.
  • Los tiempos de permanencia son más cortos para los equipos MDR. En los casos del equipo de Incident Response de Sophos, el tiempo de permanencia (el tiempo que transcurre desde que se inicia un ataque hasta que se detecta) se ha mantenido en aproximadamente ocho días. Sin embargo, con MDR, el tiempo medio de permanencia es de sólo un día para todos los tipos de incidentes y de sólo tres días para los ataques de ransomware.
  • Los servidores de Active Directory más frecuentemente comprometidos se acercan al final de su vida útil. Los atacantes comprometieron con mayor frecuencia las versiones de servidor 2019, 2016 y 2012 de Active Directory (AD). Estas tres versiones ya no son compatibles con Microsoft, el paso previo a que lleguen al final de su vida útil (EOL) y sean imposibles de parchear sin el soporte de pago de Microsoft. Además, el 21% de las versiones de servidor de AD comprometidas ya eran EOL.

Para saber más sobre los comportamientos, herramientas y técnicas de los atacantes, lee “The Bite from Inside: The Sophos Active Adversary Report”, en Sophos.com.

Acerca de Sophos

Sophos es una empresa innovadora y líder global de soluciones de seguridad avanzadas para combatir los ciberataques, entre las que se incluyen servicios de detección y respuesta gestionadas (MDR) y de respuesta a incidentes y un amplio catálogo de tecnologías para la protección de endpoints, redes, el correo electrónico y la nube. Como uno de los mayores proveedores especializados en ciberseguridad, Sophos protege a más de 600 000 organizaciones y a más de 100 millones de usuarios de todo el mundo frente a adversarios activos, ransomware, phishing, malware y mucho más. Los servicios y productos de Sophos se conectan a través de la consola de administración de Sophos Central y utilizan Sophos X-Ops, la unidad de información sobre amenazas multidominio de la empresa. La información de Sophos X-Ops optimiza todo el Sophos Adaptive Cybersecurity Ecosystem, que incluye un lago de datos centralizado que se sirve de un completo conjunto de API abiertas disponibles para clientes, partners, desarrolladores y otros proveedores de ciberseguridad y de tecnología de la información. Para las organizaciones que necesitan soluciones de seguridad totalmente gestionadas, Sophos ofrece la ciberseguridad como servicio. Aunque los clientes también pueden gestionar su ciberseguridad directamente mediante la plataforma de operaciones de seguridad de Sophos o utilizar un enfoque híbrido reforzando sus equipos internos con los servicios de Sophos, que incluyen la búsqueda y remediación de amenazas. Sophos vende a través de partners distribuidores y proveedores de servicios gestionados (MSP) en todo el mundo. Sophos tiene su sede en Oxford, Reino Unido. Encontrará más información en es.sophos.com.