Una nueva investigación sobre amenazas a la ciberseguridad muestra que los atacantes pueden eludir fácilmente las defensas de detección y respuesta de endpoints (EDR) y, a menudo, tomar a las empresas por sorpresa.
Un estudio global sobre amenazas cibernéticas realizado por el proveedor de EDR/XDR Trellix destaca la aparición de “herramientas asesinas de EDR” y los peligros de usarlas para entregar ransomware o atacar a los portadores. Los ejemplos incluyen el grupo de ransomware D0nut, que utilizó el asesino EDR para aumentar la efectividad de sus ataques, y la herramienta Terminator desarrollada por Spyboy y utilizada en un nuevo ataque en enero de 2024 dirigido principalmente a la industria de las telecomunicaciones.
John Fokker, director de inteligencia de amenazas en el Centro Trellix de Investigación Avanzada, dijo que le sorprendió que algunos atacantes fueran lo suficientemente audaces como para utilizar este tipo de ataques de desvío. “La evasión de EDR no es nueva, pero es interesante ver a actores estatales con vínculos con Rusia aprovechar esta técnica de manera tan abierta y agresiva”, dijo Fokker.
Matt Harrigan, vicepresidente de Leviathan Security, revisó la investigación de Trellix y dijo que, si bien el ataque en sí no lo sorprendió, muchos de los CISO empresariales de hoy dependen demasiado de la defensa y están preparados para tácticas de evasión EDR/XDR. Dijo que estaba sorprendido. que esto no se hizo claramente.
“Están sobreestimando las capacidades de las plataformas EDR tradicionales. Estas tecnologías han sido desactivadas y sus ataques han tenido éxito”, afirmó Harrigan.
Consejos para proteger su EDR
Otro ejecutivo de seguridad, el director ejecutivo de Halcion, John Miller, dio a los CISO algunos consejos sobre cómo proteger sus sistemas EDR/XDR de daños. Estas evasiones generalmente resultan de una de tres debilidades de seguridad: controladores débiles del kernel (vulnerabilidades conocidas sin parches), manipulación del registro y desconexión de las API del usuario, dijo Miller. “Tanto MGM como Caesars utilizaron EDR manipulados”, dijo Miller sobre los ataques a los dos operadores de casinos de Las Vegas.
La mayor parte de la investigación de Trellix examinó variaciones en diferentes técnicas de ataque que aprovechan diferentes herramientas de malware.
“Los equipos Sandworm, históricamente conocidos por sus destructivas operaciones cibernéticas, registraron un asombroso aumento del 1.669 % en las detecciones”, dice el informe, indicando que los ataques de grupos vinculados a Rusia fueron proporcionales. Esto sugiere que esto no significa solo un aumento en la detección. tasa. Las detecciones del grupo APT29, conocido por sus actividades de ciberespionaje, aumentaron un 124%, mientras que el número de actividades detectadas de APT34 y Covellite también aumentaron un 97% y un 85%, respectivamente, lo que indica el inicio de una nueva campaña. Por otro lado, hubo pocos cambios en el número de detecciones en grupos como Mustang Panda, Tara y APT28. “Es de destacar la aparición de UNC4698, con un aumento del 363% en las detecciones, lo que indica el surgimiento de un nuevo actor potencialmente importante en el mundo APT”, dice el informe.
Fokker también informó de una caída significativa en el número de actividades detectadas por parte de grupos asociados con Corea del Norte (82%), Vietnam (80%) e India (82%). Dijo que el equipo no pudo precisar el motivo. “Desafortunadamente, no tenemos una explicación clara de por qué está disminuyendo su actividad. Podría haber varias razones para la disminución de las detecciones”, dijo Fokker.
Apuntando a Turquía
Las detecciones de amenazas dirigidas a Turquía aumentaron un 1.458% y su participación en el total de detecciones aumentó un 16%. “Este aumento significativo indica un cambio significativo en el enfoque de las amenazas cibernéticas hacia Turquía y puede reflejar tensiones geopolíticas más amplias o los objetivos operativos específicos de los grupos APT”, dice el estudio.
También señala que los ataques de imitación están aumentando, en los que grupos de malware comienzan a hacerse pasar por otros grupos. “Después de la Operación Kronos, una operación global de aplicación de la ley, Trellix observó a estafadores haciéndose pasar por LockBit mientras el grupo intentaba desesperadamente mantener la cara y reanudar su lucrativa operación”.
En general, el estudio encontró que Estados Unidos sigue siendo el país más afectado, seguido de Turquía, Hong Kong, India y Brasil.
También hubo diferencias notables en el volumen de ataques entre industrias. Trellix considera que el transporte y el envío son los más expuestos a las amenazas de ransomware, ya que representaron el 53 % de las detecciones de ransomware en todo el mundo en el cuarto trimestre de 2023 y el 45 % en el primer trimestre de 2024. Lo soy. El siguiente objetivo era la industria financiera.
“Desde octubre de 2023 hasta marzo de 2024, Trellix experimentó un aumento del 17 % en las detecciones aprovechando APT en comparación con los seis meses anteriores”, afirma el estudio. “Esto es digno de mención porque nuestro último informe registró un asombroso aumento del 50% en estas detecciones. El ecosistema APT es fundamentalmente diferente y más agresivo que hace un año, astuto y activo”.
Fuente: https://www.csoonline.com/article/2142372/cisos-may-be-too-reliant-on-edr-xdr-defenses.html/amp/
