El informe posterior a la intrusión de Vectra muestra que los ciberatacantes están actuando de forma más sigilosa dentro de las redes.

Vectra® Networks, líder en gestión automatizada de amenazas, ha anunciado hoy los resultados de su último informe sobre intrusiones, un estudio real sobre las amenazas que eluden las defensas perimetrales y lo que hacen los atacantes una vez que acceden a la red.

El informe analizó datos de 120 redes de clientes de Vectra compuestas por más de 1,3 millones de hosts durante el primer trimestre de 2016, lo que supone un aumento del triple con respecto al informe anterior, que analizaba 40 organizaciones de clientes.

En el informe actual, todas las organizaciones mostraron signos de ataques dirigidos, incluyendo reconocimiento interno, movimiento lateral o exfiltración de datos. De las 120 organizaciones participantes, 117 detectaron al menos uno de estos comportamientos durante cada mes del estudio.

A pesar de que casi el 98 % de las organizaciones detectaron al menos un comportamiento al mes durante el periodo de tres meses, los investigadores observaron que se detectaban menos comportamientos en las fases más avanzadas de la cadena de ataque. Por ejemplo, la exfiltración de datos, que es con diferencia el comportamiento más peligroso, fue el menos detectado de todas las categorías, con un 3 %.

«Estos datos muestran que los equipos de seguridad que se centran exclusivamente en la fase activa de un ataque a la red están logrando reducir con éxito el riesgo de robo de datos», afirma Günter Ollmann, director de seguridad de Vectra Networks. «Están respondiendo más rápidamente y deteniendo los ataques antes de que se extraigan datos críticos de sus redes y se produzcan daños reales».

Aumento de las técnicas de C&C y los túneles ocultos

Los investigadores descubrieron que no solo están aumentando los ataques de comando y control (C&C), que representan el 67 % de las detecciones, sino que el uso de HTTP y HTTPS C&C para túneles ocultos también ha experimentado un aumento significativo este año.

HTTP y HTTPS C&C es una técnica emergente que permite a los atacantes sofisticados pasar mensajes ocultos y robar datos dentro de protocolos que generalmente no son bloqueados por los cortafuegos perimetrales.

En conjunto, los túneles HTTP y HTTPS representaron el 7,6 % de todas las detecciones de C&C, lo que los convierte en la tercera técnica de C&C más común en general. Esta tendencia se mantuvo constante al normalizar el número de hosts supervisados. Se observaron túneles C&C ocultos 4,9 veces por cada 1000 hosts, lo que supone un aumento con respecto a las 2,1 veces por cada 1000 hosts observadas en el informe anterior.

Los atacantes optan por métodos más discretos para espiar dentro de la red.

El movimiento lateral, que permite a los atacantes extenderse de este a oeste para recopilar información, se redujo significativamente, pasando del 34 % del total de detecciones en 2015 a aproximadamente el 8,6 % del total de detecciones este año.

Sin embargo, una vez dentro de la red, los atacantes parecen actuar con mayor discreción. De estas detecciones de movimientos laterales, los ataques de fuerza bruta —la técnica más popular el año pasado— han disminuido significativamente, mientras que los comportamientos de replicación automatizada y de clientes Kerberos han aumentado con respecto al año pasado, empatando en un 36,3 % de las detecciones de movimientos laterales.

«Dado que las técnicas de fuerza bruta son tan ruidosas, los atacantes más experimentados y hábiles tienden a probar primero otras técnicas de acceso, preferiblemente técnicas automatizables que sean difíciles de distinguir del tráfico normal de la red y en las que sea poco probable que se alerte de los fallos», afirma Ollmann.

«Por ejemplo, y tal y como demuestran nuestros hallazgos, la divulgación pública de las vulnerabilidades de Kerberos y las nuevas herramientas de ataque que pueden automatizar su explotación forman ahora parte del arsenal de los hackers», continuó. «Una vez creadas las claves Kerberos adecuadas y violadas las cuentas administrativas, el proceso de comprometer otros hosts de la red de la víctima es sencillo y mecánico».

Tendencias en la monetización de botnets

En el ámbito de los comportamientos de las redes de bots, el fraude de clics sigue siendo la técnica más utilizada, con un 58,1 %. Aunque las infecciones por redes de bots pueden suponer un riesgo menor para las organizaciones que un ataque dirigido, no están exentas de riesgo en absoluto.

Este año se ha producido un aumento proporcional de los ataques de denegación de servicio, fuerza bruta saliente y escaneo de puertos. Estos comportamientos de las redes de bots son importantes para las empresas, ya que pueden tener un impacto significativo en la reputación de la red. En conjunto, estas detecciones representan el 27 % de los eventos de redes de bots, más del doble del 12 % que se observaba anteriormente.

Puede descargar una copia del Informe posterior a la intrusión en info.vectranetworks.com/post-intrusion-report-2016.

Acerca de Vectra Networks

Vectra® Networks es líder en soluciones automatizadas de gestión de amenazas para la detección en tiempo real de ciberataques en curso. La solución de la empresa correlaciona automáticamente las amenazas contra los hosts que están siendo atacados y proporciona un contexto único sobre lo que están haciendo los atacantes, de modo que las organizaciones puedan prevenir o mitigar rápidamente las pérdidas. Vectra prioriza los ataques que suponen un mayor riesgo para el negocio, lo que permite a las organizaciones tomar decisiones rápidas sobre dónde centrar su tiempo y sus recursos. En 2015, Gartner nombró a Vectra «Cool Vendor» en inteligencia de seguridad por abordar los retos de la detección de amenazas tras una brecha de seguridad. Los American Business Awards también seleccionaron a Vectra como ganadora del premio de oro a la mejor startup tecnológica de 2015. Entre los inversores de Vectra se encuentran Khosla Ventures, Accel Partners, IA Ventures, AME Cloud y DAG Ventures. La sede de la empresa se encuentra en San José, California, y tiene su sede regional europea en Zúrich, Suiza. Para más información, visite www.vectranetworks.com.

###

Vectra y el logotipo de Vectra Networks son marcas comerciales registradas, y Security that thinks, Vectra Threat Labs y Threat Certainty Index son marcas comerciales de Vectra Networks. Otros nombres de marcas, productos y servicios son marcas comerciales, marcas comerciales registradas o marcas de servicio de sus respectivos propietarios.