Abuso de aplicaciones confiables crece cerca de un 51% según Sophos
los atacantes están utilizando aplicaciones y herramientas confiables en sistemas Windows, conocidas como binarios living off the land (LOLbins), para realizar actividades de descubrimiento en los sistemas y mantener la persistencia. | Fotografía Créditos: Sophos

Abuso de aplicaciones confiables crece cerca de un 51% según Sophos

Sophos presentó este mes "La Mordida Desde Adentro: El Informe de Sophos sobre Adversarios Activos", un análisis detallado sobre el comportamiento cambiante y las técnicas de ataque utilizadas por los ciberdelincuentes durante la primera mitad de 2024.

Ransomware, IA y Cadena de Suministro: Los grandes retos de Ciberseguridad en 2025
Las clave para el 2025 será la preparación, la resiliencia y la colaboración entre equipos de TI y los CISOs.

Los datos, recopilados de casi 200 casos de respuesta a incidentes (IR) realizados por los equipos de Sophos X-Ops IR y Sophos X-Ops Managed Detection and Response (MDR), revelan que los atacantes están utilizando aplicaciones y herramientas confiables en sistemas Windows, conocidas como binarios living off the land (LOLbins), para realizar actividades de descubrimiento en los sistemas y mantener la persistencia. Comparado con 2023, Sophos detectó un aumento del 51% en el abuso de LOLbins; desde 2021, el incremento es del 83%. 

Entre los 187 LOLbins únicos de Microsoft detectados en la primera mitad del año, la aplicación confiable más utilizada fue el protocolo de escritorio remoto (RDP). En el análisis de casi 200 casos de IR, los atacantes abusaron de RDP en el 89% de ellos. Esta tendencia continúa la ya observada en el informe de adversarios activos de 2023, en el que el abuso de RDP se detectó en el 90% de los casos investigados. 

Infracción de tránsito con QR: La molesta nueva ciberestafa que llegó a Chile
Los cibercriminales comenzaron a pegar supuestas infracciones de tránsito en automóviles estacionados, para hacer caer a sus incautos dueños

John Shier, CTO de campo en Sophos. destaca que;

“El uso de herramientas living-off-the-land no solo ofrece sigilo a las actividades de un atacante, sino que también parece validar tácitamente estas acciones. Mientras que el abuso de algunas herramientas legítimas puede levantar sospechas y generar alertas, el abuso de un binario de Microsoft suele tener el efecto contrario".

Muchas de estas herramientas de Microsoft son fundamentales para Windows y tienen usos legítimos, pero depende de los administradores de sistemas comprender cómo se utilizan en sus entornos y qué constituye abuso y recalca el vocero que:

"Sin una conciencia contextual y matizada del entorno, incluidas la vigilancia continua de nuevos eventos en la red, los equipos de TI sobrecargados corren el riesgo de no detectar actividades clave que a menudo derivan en Ransomware”.

Además, el informe descubrió que, a pesar de la desarticulación por parte del gobierno del principal sitio web de filtraciones y de la infraestructura de LockBit en febrero, este fue el grupo de Ransomware más frecuentemente encontrado, representando aproximadamente el 21% de las infecciones en la primera mitad de 2024. 

Sophos reúne a Partners y Expertos para fortalecer la defensa contra el cibercrimen en Chile
Durante el evento, Sophos presentó innovaciones clave en soluciones y servicios, orientadas a elevar la seguridad digital y asegurar la continuidad de las operaciones de negocios en el país

Otros hallazgos clave del informe de adversarios activos: 

  • Causa Raíz de los Ataques: Continuando con la tendencia observada en el informe anterior para líderes tecnológicos, las contraseñas comprometidas siguen siendo la principal causa raíz de los ataques, representando el 39% de los casos. Sin embargo, esto supone una disminución respecto al 56% registrado en 2023.
  • Dominio de las Brechas de Red en MDR: En los casos gestionados por el equipo MDR de Sophos, las brechas de red fueron el incidente más común encontrado.
Sophos adquirirá Secureworks con el fin de impulsar los servicios y la tecnología de ciberseguridad a nivel global
Sophos planea integrar soluciones de ambas compañías en un portafolio de seguridad más amplio y robusto, dirigido a clientes de pequeñas, medianas y grandes empresas.
  • Tiempos de Permanencia Más Cortos en MDR: En los casos gestionados por el equipo de Respuesta a Incidentes de Sophos, el tiempo de permanencia (tiempo desde el inicio de un ataque hasta su detección) se mantuvo en aproximadamente ocho días. En cambio, con MDR, el tiempo de permanencia medio fue de solo un día para todos los tipos de incidentes y de tres días para ataques de Ransomware.
  • Servidores de Active Directory Comprometidos Cerca del Fin de su Vida Útil: Los servidores de Active Directory más frecuentemente comprometidos fueron las versiones 2019, 2016 y 2012. Estas versiones ya no cuentan con soporte principal de Microsoft y están próximas a llegar al fin de su vida útil (EOL). Además, el 21% de los servidores AD comprometidos ya se encontraban en estado EOL.
La creciente amenaza del “Quishing”: del código QR al ciberataque
Los atacantes aprovechan los códigos QR de los archivos PDF adjuntos a los correos electrónicos para robar credenciales corporativas desde dispositivos móviles.

Francisco Carrasco M.

Francisco Carrasco, editor general y periodista azul especializado en TI con más de 22 años en el mercado local e internacional, quien trabajo por 15 años con la destacada editorial IDG International.