Coincidiendo con el inicio del Black Hat USA 2023, CrowdStrike acaba de anunciar el lanzamiento de la sexta edición de su CrowdStrike 2023 Threat Hunting Report, que recoge las tendencias de ciberdelincuentes y ataques, y que ha revelado un aumento masivo en las intrusiones basadas en la identidad, una creciente experiencia de los adversarios que apuntan a la nube, un aumento en el uso de herramientas legítimas de administración y monitorización remota (RMM), y un mínimo histórico en el tiempo de fuga del ciberdelincuente.
El informe cubre una serie de estilos de ataque y tácticas adversarias vistos entre julio de 2022 y junio de 2023. CrowdStrike encontró un aumento alarmante de casi 6 veces en los ataques de Kerberoasting, una técnica de la que los adversarios pueden obtener credenciales válidas para las cuentas de servicio de Microsoft Active Directory , lo que a menudo permite obtener a los ciberdelincuentes mayores privilegios y permanecer sin ser detectados en entornos de víctimas durante períodos de tiempo más largos.
Según CrowdStrike, el 62 % de las intrusiones involucraron el abuso de cuentas válidas y el 34 % de las infracciones involucraron el uso de dominios o cuentas predeterminadas. Además, hubo un aumento del 160 % en los intentos de recopilar claves secretas y otras credenciales a través de API de metadatos de instancias en la nube. Los ataques pass-the-hash aumentaron un 200 % año tras año.
La compañía también ha detectado un aumento del 312 % en el número de adversarios que aprovechan herramientas RMM legítimas y conocidas para evitar la detección, acceder a datos confidenciales e implementar ransomware o instalar tácticas de seguimiento más personalizadas.
El tiempo promedio que le lleva a un ciberdelincuente a moverse lateralmente desde el compromiso inicial a otros hosts en el entorno de la víctima cayó del mínimo histórico anterior de 84 minutos en 2022 a un récord de 79 minutos en 2023. Según datos del informe, el tiempo de fuga más rápido del año se registró en solo siete minutos.
La industria financiera experimentó un impresionante aumento interanual del 80 % en las intrusiones interactivas.
Los anuncios de Access Broker aumentan en un 147 % en comunidades criminales o clandestinas, lo que indica una reducción de la barrera de entrada para los actores de eCrime que buscan realizar operaciones delictivas y permite que los adversarios establecidos perfeccionen su oficio posterior a la explotación para lograr sus objetivos con más eficiencia.
