Los atacantes son cada vez más rápidos. Una nueva investigación revela que han reducido unos minutos más del tiempo que necesitan para pasar de obtener acceso inicial a un sistema a su intento de atacar otros dispositivos en la misma red.
CrowdStrike encuentra la intrusión promedio requerida 79 minutos después del compromiso inicial antes de lanzar un ataque a otros sistemas en una red. Eso es menos de 84 minutos en 2022. CrowdStrike's Informe de caza de amenazas de 2023, publicado el martes, también revela que el tiempo más rápido fue de siete minutos entre el acceso inicial y los intentos de extender el compromiso, según más de 85,000 incidentes procesados en 2022.
El objetivo principal de un atacante es pasar a otros sistemas y establecer una presencia en la red, de modo que incluso si los respondedores de incidentes ponen en cuarentena el sistema original, el atacante aún puede regresar, dice Param Singh, vicepresidente del servicio de seguridad OverWatch de CrowdStrike. Además, los atacantes quieren obtener acceso a otros sistemas a través de credenciales de usuario legítimas, dice.
“Si se convierten en el controlador de dominio, se acabó el juego y tienen acceso a todo”, dice Singh. “Pero si no pueden convertirse en administradores de dominio, entonces perseguirán a personas clave que tienen mejor acceso a activos [valiosos]… y tratarán de escalar sus privilegios a esos usuarios”.
El tiempo de fuga es una medida de la agilidad de los atacantes cuando comprometen las redes corporativas. Otra medida que usan los defensores es el tiempo que transcurre entre el compromiso inicial y la detección del atacante, conocido como tiempo de permanencia, que alcanzó un mínimo de 16 días en 2022, según la firma de respuesta a incidentes Mandiant. informe anual de tendencias M. Juntas, las dos métricas sugieren que la mayoría de los atacantes se aprovechan rápidamente de un compromiso y tienen carta blanca durante más de dos semanas antes de ser detectados.
Las intrusiones interactivas ahora son la norma
Los atacantes han continuado su cambio a las intrusiones interactivas, que crecieron un 40 % en el segundo trimestre de 2023, en comparación con el mismo trimestre del año anterior, y representan más de la mitad de todos los incidentes, según CrowdStrike.
La mayoría de las intrusiones interactivas (62 %) involucraron el abuso de identidades legítimas e información de cuentas. La recopilación de información de identidad también despegó, con un aumento del 160 % en los esfuerzos para "recopilar claves secretas y otro material de credenciales", mientras que la recopilación de información de Kerberos de los sistemas Windows para su posterior descifrado, una técnica conocida como Kerberoasting, creció casi un 600 %. Informe de CrowdStrike Threat Hunting declarado.
Los atacantes también están escaneando repositorios donde las empresas publican accidentalmente material de identidad. En noviembre de 2022, una organización empujó accidentalmente las credenciales de la clave de acceso de su cuenta raíz a GitHub, lo que provocó una respuesta rápida de los atacantes, dijo CrowdStrike.
“En cuestión de segundos, los escáneres automatizados y múltiples actores de amenazas intentaron usar las credenciales comprometidas”, indicó el informe. “La velocidad con la que se inició este abuso sugiere que múltiples actores de amenazas, en un esfuerzo por apuntar a entornos en la nube, mantienen herramientas automatizadas para monitorear servicios como GitHub en busca de credenciales de nube filtradas”.
Una vez en un sistema, los atacantes usan las propias utilidades de la máquina, o descargan herramientas legítimas, para pasar desapercibidos. Los llamados “viviendo de la tierra” técnicas evitan la detección de malware más evidente. Como era de esperar, los adversarios han triplicado el uso de herramientas legítimas de administración y monitoreo remoto (RMM), como AnyDesk, ConnectWise y TeamViewer, según CrowdStrike.
Los atacantes siguen centrándose en la nube
A medida que las empresas han adoptado la nube para gran parte de su infraestructura operativa, especialmente después del comienzo de la pandemia de coronavirus, los atacantes les han seguido. CrowdStrike observó más ataques "conscientes de la nube", y la explotación de la nube casi se duplicó (hasta un 95 %) en 2022.
A menudo, los ataques se centran en Linux, porque la carga de trabajo más común en la nube son los contenedores o las máquinas virtuales de Linux. La herramienta de escalada de privilegios LinPEAS se usó en tres veces más intrusiones que la siguiente herramienta más abusada, dijo CrowdStrike.
La tendencia solo se acelerará, dice Singh de CrowdStrike.
“Estamos viendo que los actores de amenazas se están volviendo más conscientes de la nube: entienden el entorno de la nube y entienden las configuraciones erróneas que normalmente se ven en la nube”, dice. "Pero la otra cosa que estamos viendo es... que el actor de amenazas ingresa a una máquina en el lado local y luego usa las credenciales y todo para pasar a la nube... y causar mucho daño".
Por separado, CrowdStrike anunció que planea combinar sus equipos de detección de amenazas e inteligencia de amenazas en una sola entidad, el grupo Counter Adversary Operations, dijo la compañía en un comunicado de prensa en agosto 8.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Automoción / vehículos eléctricos, Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- Desplazamientos de bloque. Modernización de la propiedad de compensaciones ambientales. Accede Aquí.
- Fuente: https://www.darkreading.com/threat-intelligence/attacker-breakout-time-shrinks-again-underscoring-need-for-automation
