NUEVOS GRUPOS DE APT En 2018, FireEye subió el nivel de cuatro agresores TEMP con seguimiento anterior a grupos de amenazas persistentes avanzadas (Advanced Persistent Threat, APT).

UNA VEZ QUE ES UN OBJETIVO, SIEMPRE ES UN OBJETIVO

En 2018, la cantidad de clientes redestinados siguió aumentando.1 Si alguna vez sufrió un ataque, hay grandes probabilidades de que sea atacado de nuevo y sufra otra vulneración.

100

80

60

40

20

0

CLIENTES DE RESPUESTA ANTE INCIDENTES REDESTINADOS POR REGIÓN

2017

56%

44%47%

91%

2018

64% 63%57%

78%

EMEA APACGLOBAL AMÉRICA

TIEMPO DE PERMANENCIA

Las organizaciones están mejorando en detectar las brechas rápidamente. A nivel mundial, los tiempos de permanencia promedio han disminuido significativamente, de 416 días en 2011 a tan solo 78 días en 2018.

Si bien los tiempos de permanencia promedio han disminuido a nivel global y en América, en las regiones de Asia-Pacífico y Europa, Medio Oriente y África los tiempos de permanencia aumentaron, y los equipos de seguridad siguen descubriendo ataques históricos.

TIEMPO DE PERMANENCIA PROMEDIO GLOBAL

600

500

400

300

200

100

020182017

AÑOS

TIEM

PO D

E PE

RMAN

ENCI

A (D

ÍAS)

El tiempo de permanencia es la cantidad de días que un atacante se encuentra en la red de la víctima, desde la primera evidencia de compromiso hasta la detección.

En 2018, el 31% de las brechas investigadas por Mandiant tenían tiempos de permanencia de 30 días o menos, en comparación con el 28% en 2017. Esto podría deberse a un aumento en los ataques con motivaciones financieras como es el caso del ransomware, que tiende a tener un impacto inmediato en las organizaciones atacadas, pero que también se detectan de inmediato.

DISTRIBUCIÓN DEL TIEMPO DE PERMANENCIA GLOBAL

EMEA APACGLOBAL AMÉRICA

10176

175

2016

99 99106

172

498

78 71

177204

TIEMPO DE PERMANENCIA (DÍAS)

0 a 7

201 a

300

8 a 1

4

15 a

30

31 a

45

46 a 60

61 a 75

76 a

90

91 a 15

0

151 a

200

901 a 10

00

301 a

400

401 a 5

00

501 a

600

601 a 7

00

Más d

e 2000

701 a

800

801 a

900

1000 a

2000

20

15

10

5

0

15%

7%

9%7% 7%

10%

6% 6%7%

3%1%

4%

2% 1%0 1%

7%

4%

2%

INVE

STIG

ACIO

NES

EN 2

018

(PO

RCEN

TAJE

)CL

IENT

ES D

E RE

SPUE

STA

DE IN

CIDE

NTES

(PO

RCEN

TAJE

)

11%

SALUD EDUCACIÓNFINANZAS

FINANZAS SALUD EDUCACIÓN

13%

18%

3 PRINCIPALES INDUSTRIAS REDESTINADAS

20

15

10

5

0

PORC

ENTA

JE

FUENTES DE NOTIFICACIÓN DE BRECHAS

Desde 2015, las organizaciones por sí mismas han mejorado en lo que respecta a descubrir los ataques, en contraposición con el hecho de recibir una notificación de fuentes externas.

100%

90%

80%

70%

60%

50%

40%

30 %

20%

10%

02011 2012 2013 2014 2015 2016 2017 2018

EXTERNAS INTERNAS

94%

63%67% 69%

53%

47%

38%41%

6%

37%33% 31%

47%

53%

62%59%

NOMBRE DE LA FECHA: 19 DE DICIEMBRE DE 2018NOMBRE: APT40 ORIGEN O NACIÓN PATROCINADORA: CHINA

SUDESTE DE ASIA

OBJETIVOS INDUSTRIALES PRINCIPALES

AVIACIÓN

PRODUCTOS QUÍMICOS

DEFENSAEDUCACIÓN

OBJETIVO REGIONAL PRINCIPAL

SUDESTE DE ASIA GOBIERNO

ALTA TECNOLOGÍA

MARÍTIMOINVESTIGACIÓN

APT40

12982342982639874293847293847293847293847293847293874298374298347293847293568420394820394802936293874923874293879283473847293847293847987383872384798729APT39

NOMBRE DE LA FECHA: 12 DE DICIEMBRE DE 2018NOMBRE: APT39 ORIGEN O NACIÓN PATROCINADORA: IRÁN

MEDIO ORIENTE

IRÁN

OBJETIVOS INDUSTRIALES PRINCIPALES

ALTA TECNOLOGÍA

TELECOMUNICACIONES

TRANSPORTEVIAJES

OBJETIVO REGIONAL PRINCIPAL

MEDIO ORIENTE

CHINA

3427

3894

7230

9483

0293

84

34273

89472309483029384

34273894723094830293843427389472309483029384

342738947230948302938434273894723094

83029384

APT38

NOMBRE DE LA FECHA: 2 DE OCTUBRE DE 2018NOMBRE: APT38 ORIGEN O NACIÓN PATROCINADORA: COREA DEL NORTE

COREA DEL NORTE

SISTEMAS FINANCIEROS INTERBANCARIOS

INSTITUCIONES FINANCIERAS

OBJETIVOS INDUSTRIALES PRINCIPALESOBJETIVO REGIONAL PRINCIPAL

REGIONES EN DESARROLLO DESDE EL PUNTO DE VISTA ECONÓMICO

© 2019 FireEye, Inc. Todos los derechos reservados. FireEye es una marca comercial registrada de FireEye, Inc. Todas las demás marcas, productos o nombres de servicios son o pueden ser marcas comerciales o marcas de servicios de sus respectivos propietarios. F-EXT-IG-US-EN-000187-01

1 Definimos a los “clientes redestinados” como los clientes de detección y respuestas gestionadas de FireEye que anteriormente fueron clientes de respuesta ante incidentes de Mandiant y sufrieron al menos un ataque importante en los últimos 19 meses por parte del mismo grupo de ataque o uno con motivaciones similares.

Descargue el informe M-Trends 2019 completo >

M-TRENDS 2019UN INFORME ESPECIAL DE FIREEYE MANDIANT

APT37

NOMBRE DE LA FECHA: 19 DE FEBRERO DE 2018 ORIGEN O NACIÓN PATROCINADORA: COREA DEL NORTE

MEDIO ORIENTE

COREA DEL NORTE

ENTIDADES DE ASISTENCIA SANITARIA

ELECTRÓNICA

MANUFACTURA

OBJETIVOS INDUSTRIALES PRINCIPALES

AUTOMOTRIZ

PRODUCTOS QUÍMICOS

AEROESPACIAL

OBJETIVO REGIONAL PRINCIPAL

JAPÓN

MEDIO ORIENTE

COREA DEL SURVIETNAM

COREA DEL SUR

JAPÓN

JAPÓN

REGIONES EN DESARROLLO DESDE EL PUNTO DE VISTA ECONÓMICO

NOMBRE: APT37

MEJORAS PROGRAMÁTICAS A partir de los tres problemas comunes que observamos durante las investigaciones empresariales en 2018, recomendamos tres cambios programáticos de modo de mejorar la respuesta ante incidentes y la corrección.

Asegurarse de que los planes de respuesta ante incidentes, los casos de uso y los manuales de tácticas incluyan procesos que conserven la evidencia.

RECOMENDACIÓN

Llevar a cabo revisiones regulares de los planes de respuesta ante incidentes, los casos de uso y los manuales de tácticas e incluir pautas sobre la sincronización de la erradicación.

FALTA DE INVESTIGACIÓNLos manuales de tácticas de respuesta ante incidentes carecen de pasos que hubieran ayudado a entender el contexto o determinar la necesidad de un análisis profundo, lo que resulta en vulneraciones más grandes desapercibidas y tiempos de permanencia más prolongados.

CORRECCIÓN SINCRONIZADA DE FORMA DEFICIENTELas organizaciones responden demasiado rápido a un ataque, lo que no erradica al atacante, complica la investigación y prolonga la vulneración.

DESTRUCCIÓN DE EVIDENCIASEl modelo de “reimaginar y reemplazar” para la respuesta ante incidentes puede destruir evidencia valiosa, lo que deja sin respuesta a preguntas claves.

RECOMENDACIÓN

Desarrollar pautas para entender el contexto que rodea a las amenazas identificadas y establecer procedimientos de escalación a analistas más experimentados.

RECOMENDACIÓN

• Imponer un modelo de arquitectura escalonada para restringir el acceso a las cuentas con privilegios

• Implementar Jump Boxes (cajas de acceso directo)/estaciones de trabajo con acceso con privilegios (Privileged Access Workstations, PAWS) para funciones de administrador

• Usar el grupo de seguridad Protected Users Active Directory (Active Directory para usuarios protegidos) para las cuentas confidenciales y con privilegios

• Usar perfiles de VPN separados para los administradores

GESTIÓN DE CUENTAS CON PRIVILEGIOS

La corrección previa es la implementación proactiva de iniciativas comunes enfocadas en correcciones

CORRECCIÓN PREVIAMuchos de los incidentes que investigamos en 2018 se podrían haber evitado o contenido con rapidez si las organizaciones atacadas hubieran implementado de manera proactiva mejoras comunes enfocadas en correcciones.

• Adecuar los mecanismos de visibilidad y detección al entorno

• Documentar las cuentas de servicio basadas en dominio de modo de acelerar los restablecimientos de las contraseñas empresariales

• Diseñar la arquitectura de la red de modo de segmentar y restringir las comunicaciones entre los sistemas

ESTABLECIMIENTO DE UN NIVEL GENERAL

• Revisar las arquitecturas y confianzas del bosque, enfocarse en la dirección de los controles de confianza y seguridad

• Revisar los procesos operativos, supervisar y reforzar las estrategias

REFUERZO DE ACTIVE DIRECTORY

• Usar la configuración de la política de grupo para imponer Los controles de refuerzo de Microsoft O�ce

• Revisar y reducir el alcance de los usuarios estándar mediante permisos administrativos locales en los endpoint

• Garantizar que las cuentas de administrador locales incorporadas tengan contraseñas únicas y aleatorias a lo largo de todos los endpoint

• Imponer la segmentación en el endpoint a fin de prevenir el desplazamiento lateral

REFUERZO DEL ENDPOINT

Realizar una evaluación de riesgos de la adquisición para identificar cualquier situación de riesgo actual o anterior

Realizar una revisión proactiva para buscar evidencia de actividad de un potencial agresor en las redes de la empresa adquirente y la empresa adquirida antes de que las integre

Auditar los derechos de modo de identificar las cuentas que tienen acceso al correo electrónico de los demás usuarios

Prohibir el reenvío automático de correos electrónicos fuera de las organizaciones o auditar de manera regular las reglas de reenvío en los servidores de correo para detectar evidencia de esta técnica

Habilitar la auditoría de inicio de sesión en O�ce 365

Habilitar la autenticación multifactor en O�ce 365

RECOMENDACIONESA continuación, mencionamos varias estrategias de mitigación y detección que debe considerar al momento de llevar a cabo el proceso de fusión y adquisición (Merger and Acquisition, M&A):

1

2

3

4

5

6

RIESGOS DE LA FUSIÓN Y ADQUISICIÓN

Las fusiones y adquisiciones (Mergers and acquisitions, M&A) incluyen actividades de diligencia debida e integración que se llevan a cabo bajo plazos límites agresivos. En el apuro, los líderes integran redes sin resolver los problemas de seguridad, lo que pone en riesgo a la organización matriz y a la empresa adquirida.

Una vez que los agresores obtienen acceso, crean reglas para reenviadores, exportaciones o redirecciones. Esto les permite mantener acceso al correo electrónico sin tener que autenticarse en el entorno.

REENVÍO Y REDIRECCIÓN

Los atacantes aprovechan las vulnerabilidades de la configuración de Outlook de forma que cuando las víctimas inician sesión, el sistema los redirige hacia la página web del agresor y los pone en riesgo mediante malware.

INSTALACIÓN DE MALWARE

En 2018, observamos un aumento en la actividad de los agresores utilizando cuentas de correo electrónico vulneradas para enviar correos electrónicos de phishing dirigidos a los colegas de los usuarios. Esto es especialmente eficaz en situaciones de fusiones y adquisiciones, ya que los empleados esperan comunicaciones, a veces no solicitadas, entre las organizaciones.

PHISHING

Los agresores usan el acceso a las cuentas de correo electrónicos afectadas durante la función y adquisición para evadir la autenticación multifactor mediante token de seguridad (token de software) basada en SMS, correo electrónico y software.

EVASIÓN DE LA IDENTIFICACIÓN MULTIFACTOR

© 2019 FireEye, Inc. Todos los derechos reservados. FireEye es una marca comercial registrada de FireEye, Inc. Todas las demás marcas, productos o nombres de servicios son o pueden ser marcas comerciales o marcas de servicios de sus respectivos propietarios. F-EXT-IG-US-EN-000188-01

Descargue el informe M-Trends 2019 completo >

M-TRENDS 2019 M-TRENDS 2019UN INFORME ESPECIAL DE FIREEYE MANDIANT