La explotación masiva de las vulnerabilidades ProxyLogon y ProxyShell en Microsoft Exchange Server por parte de los llamados intermediarios de acceso inicial (IAB) parece haber impulsado un aumento sustancial en los tiempos de permanencia medios, que aumentaron un 36 % en 2021 de 11 días a 15, según el última edición de Sophos Libro de jugadas del adversario activo.
El informe, que detalla los comportamientos de los atacantes observados por el equipo de respuesta rápida de Sophos, explora cómo los IAB, que se especializan en realizar compromisos iniciales de los entornos de red de las víctimas antes de vender su acceso a otros ciberdelincuentes, incluidos los operadores de ransomware, se están convirtiendo en un “vital”. parte de la economía criminal clandestina.
“El mundo del delito cibernético se ha vuelto increíblemente diverso y especializado. Los IAB han desarrollado una industria casera de delitos cibernéticos al violar un objetivo, realizar un reconocimiento exploratorio o instalar una puerta trasera, y luego vender el acceso llave en mano a las pandillas de ransomware para sus propios ataques”, dijo John Shier, asesor senior de seguridad de Sophos.
“En este panorama de amenazas cibernéticas cada vez más dinámico y basado en especialidades, puede ser difícil para las organizaciones mantenerse al día con las herramientas y enfoques en constante cambio que utilizan los atacantes. Es vital que los defensores entiendan qué buscar en cada etapa de la cadena de ataque, para que puedan detectar y neutralizar los ataques lo más rápido posible”.
Shier explicó que para un IAB, tener éxito depende de ser el primero en la escena del crimen, lo que significa que dichos actores tienden a estar en todas las vulnerabilidades recientemente informadas o reveladas para que puedan ingresar antes de que sus víctimas tengan la oportunidad de parchear.
Luego se ponen a trabajar asegurando un punto de apoyo y tal vez realizando algún movimiento exploratorio para obtener más información sobre sus víctimas, antes de realizar una venta a otra persona, generalmente un operador de ransomware.
“El mundo del delito cibernético se ha vuelto increíblemente diverso y especializado. Es vital que los defensores entiendan qué buscar en cada etapa de la cadena de ataque, para que puedan detectar y neutralizar los ataques lo más rápido posible”.
John Shier, Sophos
Este proceso claramente lleva un poco de tiempo (pueden ser meses o incluso más), por lo que los tiempos de permanencia más altos probablemente reflejen la participación de los IAB.
Shier dijo que en el caso de ProxyLogon y ProxyShell, era muy probable que hubiera una gran cantidad de infracciones que actualmente se desconocen, donde los shells web y las puertas traseras se han implantado silenciosamente y ahora están inertes, esperando ser “vendidos”.
“Las señales de alerta que los defensores deben tener en cuenta incluyen la detección de una herramienta legítima, una combinación de herramientas o una actividad en un lugar inesperado o en un momento poco común. Vale la pena señalar que también puede haber momentos de poca o ninguna actividad, pero eso no significa que no se haya violado una organización”, dijo Shier.
“Los defensores deben estar alerta ante cualquier señal sospechosa e investigar de inmediato. Necesitan parchear errores críticos, especialmente aquellos en software ampliamente utilizado y, como prioridad, fortalecer la seguridad de los servicios de acceso remoto. Hasta que se cierren los puntos de entrada expuestos y se elimine por completo todo lo que los atacantes han hecho para establecer y retener el acceso, casi cualquiera puede entrar tras ellos, y probablemente lo hará”, dijo.
El informe también destacó una tendencia relacionada que ahora parece estar emergiendo, en la que múltiples actores, incluidos IAB, criptomineros y pandillas de ransomware, incluso múltiples pandillas de ransomware, obtienen acceso a la misma organización simultáneamente. Esta es una tendencia que Shier predijo que daría forma al panorama de amenazas durante 2022.
“Con las oportunidades de las vulnerabilidades ProxyLogon y ProxyShell sin parches y el surgimiento de IAB, estamos viendo más evidencia de múltiples atacantes en un solo objetivo. Si está abarrotado dentro de una red, los atacantes querrán moverse rápido para vencer a la competencia”, dijo Shier.
los Libro de jugadas del adversario activo se basa en datos recopilados por los equipos de Sophos de casi 150 incidentes dirigidos a organizaciones de todos los tamaños, en múltiples industrias, en todo el mundo.
Sin embargo, otras fuentes de datos difieren. Un estudio similar de incidentes a los que respondió Mandiant, publicado a principios de 2022, sugirió precisamente lo contrario: que los tiempos de permanencia han disminuido. Como siempre, la verdad de una situación turbia probablemente se encuentre en algún lugar entre los dos.
