Sophos publicó una nueva edición de su informe Sophos Active Adversary Report 2025, que detalla el comportamiento y las técnicas de los atacantes en más de 400 casos de Managed Detection and Response (MDR) y de Incident Response (IR) durante 2024.
El reporte reveló que la principal forma en que los atacantes obtuvieron acceso inicial a las redes (56% de todos los casos entre MDR e IR) fue mediante la explotación de servicios remotos externos, lo que incluye dispositivos perimetrales como firewalls y VPNs, utilizando cuentas válidas.
La combinación de servicios remotos externos y cuentas válidas coincide con las principales causas de los ataques. Por segundo año consecutivo, las contraseñas comprometidas fueron la causa raíz número uno (41% de los casos), seguidas de vulnerabilidades explotadas (21,79%) y ataques de fuerza bruta (21,07%).
Comprendiendo la velocidad de los ataques
Al analizar las investigaciones de MDR e IR, el equipo Sophos X-Ops se centró específicamente en casos de Ransomware, extracción y extorsión de datos para identificar qué tan rápido avanzan los ciberdelincuentes a través de las etapas de un ataque dentro de una organización.
En estos tres tipos de casos, el tiempo promedio entre el inicio del ataque y la extracción de datos fue de solo 72,98 horas (3,04 días). Además, desde el robo de estos hasta la detección del ataque transcurrió un tiempo promedio de apenas 2,7 horas.
“La seguridad pasiva ya no es suficiente. Si bien la prevención es fundamental, la respuesta rápida es crítica, las organizaciones deben monitorear activamente sus redes y actuar con rapidez ante la telemetría observada. Los ataques coordinados por adversarios motivados requieren una defensa coordinada», comentó John Shier, CISO de campo de Sophos. Además, destacó que para muchas organizaciones, esto significa combinar el conociminto específico del negocio con la detección y respuesta lideradas por expertos.
Otros hallazgos clave
- Los atacantes pueden tomar el control de un sistema en solo 11 horas: el tiempo promedio entre la primera acción de los atacantes y su primer intento (a menudo exitoso) de comprometer el Active Directory (AD), uno de los activos más críticos en cualquier red Windows, fue de solo 11 horas. Si tienen éxito, los atacantes pueden tomar el control de la organización con mayor facilidad.
- Principales grupos de Ransomware en los casos de Sophos: Akira fue el grupo de Ransomware más frecuente en 2024, seguido de Fog y LockBit (a pesar de una intervención gubernamental contra LockBit a principios de año).
- El tiempo de permanencia se ha reducido a solo 2 días: en general, el tiempo de permanencia disminuyó de 4 días a solo 2 en 2024, en gran parte debido a la inclusión de los casos de MDR en el análisis.
- Tiempo de permanencia en casos de IR: se mantuvo estable en 4 días para ataques de Ransomware y 11.5 días para casos sin ransomware.
- Tiempo de permanencia en casos de MDR: en investigaciones de MDR, el tiempo de permanencia fue de solo 3 días para casos de Ransomware y apenas 1 día para casos sin Ransomware, lo que sugiere que los equipos de MDR pueden detectar y responder a los ataques con mayor rapidez.
- Los grupos de Ransomware trabajan de noche: en 2024, el 83% de los binarios de Ransomware se desplegaron fuera del horario laboral de las víctimas.
- El Remote Desktop Protocol (RDP) sigue dominando: el RDP estuvo involucrado en el 84% de los casos de MDR/IR, convirtiéndose en la herramienta de Microsoft más utilizada por los atacantes.
Recomendaciones
Para evitar este tipo de ataques, los especialistas de Sophos recomiendan cerrar los puertos RDP expuestos, utilizizar autenticación multifactor (MFA) resistente a pishing, aplicar parches a los sistemas vulnerables de manera oportuna, y establecer un plan integral de respuesta a incidentes.
