La explotación de vulnerabilidades representó el 52% de los incidentes de ransomware investigados por Secureworks en los últimos 12 meses, convirtiéndose en el principal vector de acceso inicial para los actores de amenazas, según afirma el proveedor en un nuevo informe.
El informe anual de la empresa de seguridad sobre el estado de las amenazas se ha elaborado a partir de las conclusiones de su Unidad de Lucha contra las Amenazas durante ese periodo.
En él se constata que la explotación de fallos en los sistemas orientados a Internet fue la más favorecida por los autores de ransomware el año pasado, en lugar del uso de credenciales -a menudo asociadas con el compromiso del protocolo de escritorio remoto (RDP)- y los correos electrónicos maliciosos.
Este cambio de táctica puede deberse a un desequilibrio más amplio entre las capacidades de los actores de las amenazas y las de los defensores de la red, según el informe.
“Los actores de las amenazas siguen convirtiendo rápidamente en armas las nuevas vulnerabilidades, mientras que los desarrolladores de herramientas de seguridad ofensiva (OST) también están incentivados -por la necesidad de generar beneficios o mantener sus herramientas relevantes- a implementar rápidamente el nuevo código de explotación”, argumentó.
En un solo día de junio de este año, el proveedor afirmó haber observado más de 2,2 millones de credenciales obtenidas por ladrones de información, que se pusieron a la venta en un mercado clandestino.
El ransomware sigue siendo la principal amenaza para las organizaciones mundiales, ya que representa más de una cuarta parte de los ataques analizados por Secureworks. La mayoría de las amenazas están vinculadas a grupos de ciberdelincuentes rusos, según el informe.
La buena noticia es que el tiempo medio de permanencia de los atacantes se redujo de 22 días en 2021 a 11 días en lo que va de año. Sin embargo, eso todavía deja a los atacantes con mucho tiempo para robar datos y desplegar cargas útiles de ransomware.
