Noticias

Rapid7 publica un informe de inteligencia de ataques

En el que examina los ataques de alto impacto

[30/05/2024] Rapid7 anunció la publicación de su informe 2024 Attack Intelligence Report. Según lo señalado en el comunicado de prensa, el informe proporciona información experta y orientación que los profesionales de la seguridad pueden utilizar para comprender y anticipar mejor las amenazas cibernéticas modernas.

La investigación en la que se basa el informe proviene de más de 1.500 puntos de datos de vulnerabilidades y exploits seleccionados; análisis de más de 180 campañas de amenazas avanzadas; miles de incidentes de ransomware rastreados, comunicaciones de extorsión y publicaciones en la web oscura; e información de billones de eventos de seguridad a través de Rapid7 MDR y telemetría de análisis de amenazas, comentó Caitlin Condon, directora de inteligencia de vulnerabilidades de Rapid7 y autora principal del informe.

De este vasto examen de la información que se remonta al 2019 y a principios del 2024 surgieron varios hallazgos significativos, anotó la ejecutiva. Por ejemplo, agregó, en el 2023, por segunda vez en los últimos tres años, surgieron más eventos de compromiso masivo por vulnerabilidades de día cero (53%) que por vulnerabilidades de día n. Las cifras del año pasado representan un regreso a los niveles de 2021 de explotación generalizada de día cero (52%), luego de un ligero respiro (43%) en 2022.

"Nuestros datos muestran que el 2021 ha sido la línea divisoria entre un 'entonces' y un 'ahora' en los ataques de día cero. Desde entonces, el número medio de días entre la divulgación y la explotación de vulnerabilidades, que comenzamos a rastrear hace varios años, se ha mantenido en un solo dígito en todos los CVE en nuestros conjuntos de datos anuales; la explotación generalizada de las principales vulnerabilidades ha pasado de ser un acontecimiento notable a una expectativa de referencia; Y los ataques de ransomware suelen desconectar sistemas públicos enteros, a veces durante semanas o meses", sostuvo Condon.

Además de un número consistentemente alto de días cero que conducen a eventos de compromiso masivo, el informe señala un "cambio pronunciado" en la forma en que se están desarrollando estos eventos. "En lugar de seguir el patrón histórico de "muchos atacantes, muchos objetivos", casi una cuarta parte (23%) de las CVE de amenazas generalizadas que Rapid7 examinó en el 2023 y principios del 2024 surgieron de ataques de día cero bien planificados y altamente orquestados en los que un solo adversario comprometió docenas o incluso cientos de organizaciones a la vez, a menudo aprovechando herramientas personalizadas como exploits patentados y puertas traseras, anotó la ejecutiva.

Otras conclusiones clave del informe son:

  • Los eventos de compromiso masivo derivados de la explotación de los dispositivos perimetrales de la red casi se han duplicado desde principios del 2023, y el 36% de las vulnerabilidades ampliamente explotadas se producen en las tecnologías del perímetro de la red. Más del 60% de las vulnerabilidades que Rapid7 analizó en dispositivos de red y seguridad en 2023 fueron explotadas como día cero.
  • Si bien a los adversarios expertos todavía les gustan los exploits de corrupción de memoria, la mayoría de los CVE ampliamente explotados de los últimos años han surgido de causas raíz más simples y más fáciles de explotar, como la inyección de comandos y los problemas de autenticación inadecuados.
  • El 41% de los incidentes que Rapid7 MDR observó en el 2023 fueron el resultado de la falta o no aplicación de la autenticación multifactor (MFA) en los sistemas orientados a Internet, en particular las VPN y la infraestructura de escritorio virtual.
  • Rapid7 Labs rastreó más de 5.600 incidentes de ransomware distintos a lo largo del 2023 y los primeros meses del 2024. El número de familias únicas de ransomware reportadas en el 2023 disminuyó en más de la mitad, de 95 nuevas familias en el 2022 a 43 en el 2023.

"Se trata de un ecosistema de ciberdelincuencia maduro y bien organizado, con mecanismos cada vez más sofisticados para obtener acceso, establecer persistencia y evadir la detección", dijo Condon. "Los datos nos dicen que estamos viviendo la intensificación de una tendencia de varios años; Ahora más que nunca, la implementación de procedimientos de aplicación de parches de día cero para tecnologías críticas es clave".

El informe señala que los dispositivos de borde de la red corren un riesgo particular de explotación de día n y día cero, y Rapid7 recomienda que las vulnerabilidades en estos dispositivos se mitiguen tan pronto como estén disponibles los parches o soluciones proporcionados por el proveedor. El informe también indica que habilitar el registro y garantizar que funcione como se espera es fundamental para permitir que los equipos de operaciones de seguridad busquen los indicadores más elusivos de compromiso y actividad sospechosa que representan incidentes ejecutados por los grupos de atacantes maduros identificados en la investigación.

Llegamos a ustedes gracias a:


BrandPosts Qué es BrandPost

Más »
×
Los artículos publicados en esta sección -BrandPosts- son escritos y editados por los proveedores o miembros de la comunidad TI. BrandPosts crea una oportunidad para que un patrocinador proporcione información y comentarios desde su punto de vista, directamente a la audiencia de CTOPerú. El equipo editorial de CTOPerú no participa en la redacción o edición de estos BrandPosts.

Primer contacto

Más »

Recursos

Más »