Los tiempos de permanencia de los ataques cibernéticos, la cantidad de tiempo que los actores maliciosos pasan en el entorno de una víctima antes de ser detectados, se redujeron de 24 días en 2020 a 21 días en 2021, según la información recopilada de los incidentes publicados hoy por Mandiant a los que reaccionó.
Las estadísticas principales parecen mostrar que los defensores en general han mejorado significativamente sus capacidades de detección y respuesta ante amenazas, como señaló Sandra Joyce, vicepresidenta ejecutiva de Mandiant Intelligence. Varios resultados positivos de años anteriores se trasladarán a 2021.
«A pesar de un panorama de amenazas increíblemente desafiante, estamos viendo varias mejoras», dijo Joyce. “Este informe de M-Trends tiene la exposición mediática global más baja registrada. Además APAC [Asia-Pacific] y EMEA [Europe, Middle East and Africa] mostró las mayores mejoras en múltiples categorías de detección de amenazas en comparación con años anteriores”.
Aún así, las noticias positivas se ven atenuadas por la certeza de que los actores de amenazas continúan innovando y adaptándose, y Mandiant sugirió que la proliferación de ataques de ransomware en 2021 también podría explicar parcialmente la disminución: los operadores de ransomware motivados financieramente tienden a buscar mucho más rápido. que otros actores de amenazas, dijo.
De hecho, Joyce dijo que Mandiant encontró «más grupos de amenazas en 2021 que en cualquier período anterior».
“Al mismo tiempo, durante este período, comenzamos a rastrear más familias de malware nuevas que nunca. En general, esto habla de un panorama de amenazas que continúa con una tendencia al alza en términos de volumen y diversidad de amenazas”, dijo. «Seguimos viendo las ganancias financieras como una motivación clave para los atacantes observados».
Durante el año pasado, Mandiant comenzó a rastrear más de 1100 nuevos grupos de amenazas y 733 nuevas familias de malware, el 86 % de los cuales no estaban disponibles públicamente; otra tendencia constante entre los actores de amenazas parece ser restringir el acceso a sus herramientas o hacer que su desarrollo sea privado.
Los operadores de ransomware, en particular, están recurriendo a tácticas, técnicas y procedimientos (TTP) más versátiles para generar grandes pagos, y en 2021 están explotando cada vez más las vulnerabilidades en la infraestructura de virtualización en las grandes organizaciones.
«La extorsión múltiple y el ransomware continúan planteando desafíos importantes para las organizaciones de todos los tamaños e industrias, y el informe M-Trends de este año señala un aumento significativo en los ataques dirigidos a la infraestructura de virtualización», dijo Jurgen Kutscher, vicepresidente ejecutivo de prestación de servicios de Mandiant.
“La clave para desarrollar resiliencia es la preparación. Desarrollar un plan de preparación sólido y un proceso de recuperación probado y bien documentado puede ayudar a las organizaciones a gestionar con éxito un ataque y volver rápidamente a las operaciones comerciales normales”.
Los ataques a la cadena de suministro también fueron cada vez más favorecidos como medio de compromiso inicial, pasando de menos del 1 % del total observado en 2020 al 17 % en 2021, aunque el mayor vector de infección sigue siendo, con diferencia, la explotación de vulnerabilidades de día cero. visto en el 37% de los incidentes, mientras que el phishing representó el 11%, una disminución significativa.
“Si bien los exploits continúan ganando prominencia y siguen siendo el vector de infección más comúnmente identificado, el informe encuentra un aumento significativo en los ataques a la cadena de suministro. Por el contrario, ha habido una caída notable en el phishing este año, lo que refleja una mayor conciencia y la capacidad de las organizaciones para detectar y bloquear mejor estos intentos», señaló Kutscher.
«Con el aumento continuo en el uso de exploits como el vector inicial de compromiso, las organizaciones deben continuar enfocándose en ejecutar los fundamentos de seguridad, como la gestión de activos, riesgos y parches».
Finalmente, el informe también señala un reenfoque y reorganización de las operaciones de ciberespionaje originadas en China, potencialmente consistentes con la implementación del país de los 14el Plan quinquenal el año pasado.
De cara al futuro, las organizaciones deben ser conscientes de un posible aumento de los ataques provenientes de los actores del nexo con China. A diferencia de las operaciones de inteligencia relacionadas con Rusia y los ataques cibernéticos destructivos a la infraestructura, como los recientes ataques cibernéticos en apoyo de la guerra en Ucrania, las operaciones chinas suelen tener como objetivo la propiedad intelectual y las preocupaciones económicas estratégicas.