Los ciberdelincuentes están muy al día de todos los avances en seguridad sobre los que trabaja la industria y, precisamente por eso, no dejan de investigar nuevas técnicas y procedimientos para conseguir sus objetivos, con el fin último de optimizar los ataques y amplificar los daños. De hecho, según hemos observado en CrowdStrike, las tácticas analizadas en los últimos meses son mucho más agresivas que las que vimos el año pasado, lo que pone en peligro a cada vez más organizaciones europeas.
Uno de los datos más sorprendentes que hemos descubierto este año es que un cibercriminal tan sólo necesita 79 minutos de media para alcanzar sus objetivos, cinco minutos menos que el año pasado. Y se trata de una media: hemos llegado a encontrar algún ataque en el que el criminal precisó simplemente 7 minutos para alcanzar la información corporativa sensible que buscaba. Es decir, menos de lo que se tarda en tomar un café.
Pero vayamos por partes. Para saber cómo atajar este grave problema, es necesario conocer cómo trabajan los delincuentes. Si no, es imposible cerrarles las puertas. En este sentido, el equipo de analistas de CrowdStrike ha detectado que la mayor parte de los incidentes comienza con un compromiso de identidad y no sólo lo hacen con credenciales comprometidas, sino que son capaces de cometer abusos sobre cualquier tipo de identificación o autorización, incluso comprando accesos válidos en el mercado negro.
Las cifras son claras: el 62 % de las intrusiones observadas por CrowdStrike este año supusieron una explotación de cuentas válidas. Y ello a pesar del incremento en un 160 % en los esfuerzos por securizar claves y credenciales secretas mediante API de metadatos con instancias cloud. También es increíble el crecimiento en ataques contra Kerberos (un tipo de ataque que persigue obtener las contraseñas vinculadas a una cuenta del servicio del Directorio Activo a partir de un usuario sin privilegios), que aumentó un 583 %, es decir, se ha multiplicado por 6 en tan solo un año. Esta técnica supone una verdadera amenaza contra las organizaciones europeas, ya que los criminales no necesitan privilegios para ejecutar sus ataques.
Por sectores, el más vulnerable en Europa es el financiero, que ha sobrepasado en ataques al de telecomunicaciones y a las empresas de tecnología, y que ha sufrido un 80 % más de ataques que el año pasado. La mayoría de los ataques procedían de criminales norcoreanos, con una especial mención al grupo Labyrinth Chollima. Los métodos más utilizados contra el sector adoptaban herramientas de Linux o macOS.
Más concretamente en este sector, han crecido de forma destacada los ataques contra NFT o criptomonedas, aunque el objetivo predominante siguen siendo las grandes empresas y las campañas de robo de datos.
El sector de las telecomunicaciones, tradicionalmente el más afectado, recibió el 10 % de todas las intrusiones. Y este año, especialmente, ha sufrido incidentes perpetrados por delincuentes relacionados con Irán, que han utilizado herramientas como Cobalt Strike, PsExec, ProcessHacker, Mimikatz o NetScan.
En definitiva, la evidencia deja claro que los cibercriminales son cada vez más ágiles a la hora de desarrollar nuevas técnicas para atacar lo más rápidamente posible a sus objetivos. Los equipos de seguridad de las empresas europeas deberían priorizar el trabajo con sus socios para desarrollar estrategias que detengan las brechas lo antes posible y evitar que los delincuentes consigan lo que buscan. Y, para ello, no nos engañemos, el trabajo de los profesionales bien formados es también imprescindible: aunque la tecnología ayude, no debemos confiar solamente en ella para combatir las amenazas que nos acechan cada día.
(Zeki Turedi - CrowdStrike)
