Las infracciones relacionadas con el phishing y el compromiso de credenciales han recibido mucha atención en los últimos años debido a la frecuencia con la que los actores de amenazas han empleado las tácticas para ejecutar ataques dirigidos y oportunistas. Pero eso no significa que las organizaciones empresariales puedan darse el lujo de disminuir un poco su enfoque en la corrección de vulnerabilidades.
Un informe de Kaspersky esta semana identificó más intrusiones iniciales el año pasado como resultado de la explotación de vulnerabilidades en aplicaciones orientadas a Internet que infracciones que involucran correos electrónicos maliciosos y cuentas comprometidas. combinado. Y los datos que la compañía recopiló hasta el segundo trimestre de 2022 sugieren que la misma tendencia también podría estar ocurriendo este año.
El análisis de Kaspersky de su 2021 Los datos de respuesta a incidentes mostraron que las infracciones relacionadas con la explotación de vulnerabilidades aumentaron del 31.5 % de todos los incidentes en 2020 al 53.6 % en 2021. Durante el mismo período, los ataques asociados con el uso de cuentas comprometidas para obtener acceso inicial se redujeron del 31.6 % en 2020 al 17.9 % % el año pasado. Las intrusiones iniciales resultantes de correos electrónicos de phishing disminuyeron del 23.7 % al 14.3 % durante el mismo período.
Las fallas del servidor Exchange alimentan el frenesí de explotación
Kaspersky atribuyó el aumento en la actividad de exploits el año pasado como probablemente relacionado con las múltiples vulnerabilidades críticas de Exchange Server que Microsoft reveló, incluido un conjunto de cuatro días cero en marzo de 2021 conocido como el Defectos de ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065). Cuando se encadenaron, permitieron a los atacantes obtener un control remoto completo sobre los servidores Exchange locales.
Los atacantes, que incluían bandas criminales organizadas y grupos patrocinados por el estado de China, explotaron rápidamente decenas de miles de sistemas vulnerables de Exchange Server y lanzaron shells web sobre ellos antes de que Microsoft pudiera emitir un parche para las fallas. Las vulnerabilidades suscitaron una preocupación considerable debido a su ubicuidad y gravedad. Incluso incitaron al Departamento de Justicia de EE. UU. a autorizar al FBI a dar el paso sin precedentes de eliminación proactiva de shells web de ProxyLogon de servidores pertenecientes a cientos de organizaciones, en la mayoría de los casos, sin ninguna notificación.
Otro trío de vulnerabilidades de Exchange Server también impulsó la actividad de explotación en 2021. ProxyShell etiquetado colectivamente (CVE-2021-31207, CVE-2021-34473, CVE-2021-34523) que los atacantes utilizaron ampliamente para lanzar ransomware y en ataques de compromiso de correo electrónico empresarial (BEC).
Más de un año después, las vulnerabilidades de ProxyLogon y ProxyShell continúan siendo objeto de una gran actividad de explotación, dice Konstantin Sapronov, jefe del Equipo de Respuesta de Emergencia Global de Kaspersky. Uno de los más severos de estos defectos (CVE-2021-26855) también ha sido el más atacado. Kaspersky observó que la vulnerabilidad, parte del conjunto ProxyLogon, se aprovechó en el 22.7 % de todos los incidentes relacionados con la explotación de vulnerabilidades a los que respondió en 2021, y la falla sigue siendo una de las favoritas entre los atacantes este año también, según Sapronov.
Es probable que la misma tendencia de explotación se desarrolle en 2022
A pesar de que han surgido varias vulnerabilidades graves este año, incluido el Vulnerabilidad omnipresente de Apache Log4j (CVE-2021-44228): las vulnerabilidades más explotadas de 2021 también siguen siendo muy frecuentes en 2022, dice Sapronov, incluso más allá de los errores del servidor de Exchange. Por ejemplo, Kaspersky identificó una falla en el motor del navegador MSHTML de Microsoft (CVE-2021-40444, parcheado en septiembre pasado) como la más vulnerabilidad fuertemente atacada en el segundo trimestre de 2022.
“Las vulnerabilidades en software popular como MS Exchange Server y la biblioteca Log4j han resultado en una gran cantidad de ataques”, señala Sapronov. “Nuestro consejo para los clientes empresariales es que presten mucha atención a los problemas de administración de parches”.
Es hora de priorizar la aplicación de parches
Otros han notado un aumento similar en la actividad de explotación de vulnerabilidades. En abril, los investigadores del equipo de investigación de amenazas de la Unidad 42 de Palo Alto Networks notaron cómo el 31%, o casi uno de cada tres incidentes, que habían analizado hasta ese momento en 2022 involucraba explotaciones de vulnerabilidades. En más de la mitad (55 %) de ellos, los actores de amenazas se habían dirigido a ProxyShell.
Los investigadores de Palo Alto también encontraron que los actores de amenazas generalmente buscan sistemas con una falla recién revelada literalmente minutos después de que se anuncia el CVE. En un caso, observaron una falla de omisión de autenticación en un dispositivo de red F5 (CVE-2022-1388) atacado 2,552 veces en las primeras 10 horas posteriores a la revelación de la vulnerabilidad.
La actividad posterior a la explotación es difícil de detectar
El análisis de Kaspersky de sus datos de respuesta a incidentes mostró que en casi el 63% de los casos, los atacantes lograron pasar desapercibidos en una red durante más de un mes después de obtener la entrada inicial. En muchos casos, esto se debió a que los atacantes utilizaron herramientas y marcos legítimos como PowerShell, Mimikatz y PsExec para recopilar datos, escalar privilegios y ejecutar comandos.
Cuando alguien notó rápidamente una infracción, generalmente se debió a que los atacantes habían creado daños evidentes, como durante un ataque de ransomware. “Es fácil detectar un ataque de ransomware cuando sus datos están encriptados, ya que los servicios no están disponibles y tiene una nota de rescate en su monitor”, dice Sapronov.
Pero cuando el objetivo son los datos de una empresa, los atacantes necesitan más tiempo para recorrer la red de la víctima y recopilar la información necesaria. En tales casos, los atacantes actúan de manera más sigilosa y cautelosa, lo que hace que este tipo de ataques sea más difícil de detectar. “Para detectar tales casos, sugerimos emplear una pila de herramientas de seguridad con telemetría similar a detección y respuesta extendida (EDR) e implementar reglas para la detección de herramientas generalizadas utilizadas por los adversarios”, dice.
Mike Parkin, ingeniero técnico sénior de Vulcan Cyber, dice que la conclusión real para las organizaciones empresariales es que los atacantes aprovecharán cualquier oportunidad que puedan para violar una red.
“Con una gama de vulnerabilidades explotables, no es una sorpresa ver un repunte”, dice. Es difícil decir si los números son más altos para las vulnerabilidades sobre los ataques de credenciales de ingeniería social, señala.
“Pero la conclusión es que los actores de amenazas utilizarán los exploits que funcionen. Si hay una nueva vulnerabilidad de código remoto en algún servicio de Windows, acudirán en masa y violarán tantos sistemas como puedan antes de que salgan los parches o se implementen las reglas del firewall”, dice.
El verdadero desafío son las vulnerabilidades de cola larga: las que son más antiguas, como ProxyLogon, con sistemas vulnerables que se han pasado por alto o se ignoran, dice Parkin, y agrega que la aplicación de parches debe ser una prioridad.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
