9 de cada 10 ciberataques se llevan a cabo a través del acceso remoto
Se ha detectado un nivel de abuso de RDP sin precedentes desde 2020. Los servicios remotos externos fueron el principal método con el que los atacantes penetraron inicialmente en las redes.
Sophos, líder mundial en soluciones de seguridad innovadoras que derrotan los ciberataques, publica el análisis "Todo está muy tranquilo (?): El Active Adversary Report de Sophos para el primer semestre de 2024". El estudio, que analiza más de 150 casos de respuesta a incidentes (IR) atendidos por el equipo de Sophos X-Ops IR en 2023, ha descubierto que los ciberdelincuentes abusaron del protocolo de escritorio remoto (RDP) (un método común para establecer acceso remoto en sistemas Windows) en el 90% de los ataques. Se trata de la cifra más alta de abuso de RDP desde que Sophos comenzó a elaborar los informes de Active Adversary Reports en 2021, que incluyen datos desde 2020.
Además, los servicios remotos externos como RDP han sido el modo más común con el que los atacantes han conseguido vulnerar las redes, siendo el método de acceso inicial en el 65% de los casos de IR en 2023. Desde el lanzamiento del primer Active Adversary Report en 2020, los servicios remotos externos se han convertido en el recurso más frecuente usado por los cibercriminales para obtener el acceso inicial a la red, algo que los equipos de seguridad deberían tener en cuenta, ya que es una clara señal de la importancia de priorizar la gestión de estos servicios cuando se evalúa el riesgo de seguridad de una empresa.
"Los servicios remotos externos son un elemento necesario, pero arriesgado, para muchas empresas. Los atacantes saben los riesgos que plantean estos servicios y tratan activamente de sabotearlos dada la recompensa que se esconde tras ellos. Exponer servicios sin una especial atención y mitigación de riesgos conduce inevitablemente a un compromiso de las redes. A un atacante no le lleva mucho tiempo encontrar y vulnerar un servidor RDP expuesto y sin controles adicionales, ni tampoco encontrar el servidor de Directorio Activo que le espera al otro lado", afirma John Shier, CTO Field de Sophos.
En el caso concreto de un cliente de Sophos X-Ops, los atacantes consiguiendo comprometer la red de la víctima cuatro veces en seis meses, y cada una de las veces obtuvieron el acceso inicial a través de puertos RDP expuestos del cliente. Una vez dentro, los cibercriminales continuaron moviéndose lateralmente a través de las redes empresariales, descargando binarios maliciosos, desactivando la protección de los endpoints y estableciendo acceso remoto.
Por otra parte, las credenciales comprometidas y las vulnerabilidades explotadas continúan siendo los dos orígenes más comunes de los ataques. En el informe "Active Adversay Report for Tech Leader" de la primera mitad de 2023 y publicado por Sophos el pasado mes de agosto, se detectó que, por primera vez, las credenciales comprometidas superaron a las vulnerabilidades como la causa más común de origen de los ataques. Esta tendencia continuó durante el resto de 2023, con las credenciales comprometidas representando la causa de origen del 50% de los casos de IR de todo el año. Cuando se analizan los datos acumulados de los informes Active Adversary desde 2020, las credenciales comprometidas también fueron la causa número uno de "todos los tiempos" en el origen de los ataques, implicadas en casi un tercio de todos los casos. A pesar de la histórica prevalencia de las credenciales comprometidas en los ciberataques, las empresas seguían sin tener configurada la autenticación multifactor en el 43% de los casos atendidos por IR en 2023.
La explotación de vulnerabilidades fue la segunda causa más común de los ataques, tanto en 2023 como al analizar los datos acumulados de 2020 a 2023, representando la causa de origen en el 16% y el 30% de los casos de IR, respectivamente.
"Gestionar el riesgo es un proceso activo. Las empresas que lo hacen bien experimentan mejores escenarios de seguridad que las que no lo hacen a la hora de afrontar las amenazas continúas lanzadas por atacantes con mucha determinación. Un aspecto importante de la gestión de los riesgos de seguridad, más allá de identificarlos y priorizarlos, es actuar en función de la información. A pesar de ello, y durante demasiado tiempo, ciertos riesgos como el RDP abierto siguen inundando de ataques a las empresas para deleite de los cibercriminales, que pueden entrar por la puerta principal. Asegurar la red reduciendo los servicios expuestos y vulnerables y reforzando la autenticación hará que las empresas mejoren sus niveles de seguridad y estén mejor preparadas para hacer frente a los ciberataques", afirma Shier.