Inicio
Topics
Amenazas persistentes avanzadas
Publicado: 3 de abril de 2024
Colaboradores: Gregg Lindemulder, Amber Forrest
Las amenazas persistentes avanzadas (APT) son ciberataques no detectados diseñados para robar datos confidenciales, realizar ciberespionaje o sabotear sistemas cruciales durante un largo periodo de tiempo. A diferencia de otras ciberamenazas como el ransomware, el objetivo de un grupo de ataque APT es pasar desapercibido mientras se infiltra y amplía su presencia en una red objetivo.
Los equipos de ciberdelincuentes patrocinados por el estado a menudo ejecutan ataques APT para acceder a la información confidencial de otros estados-nación o a la propiedad intelectual de grandes organizaciones. Aunque inicialmente pueden utilizar técnicas tradicionales de ingeniería social, estos actores de amenazas son conocidos por personalizar herramientas y métodos avanzados para explotar las vulnerabilidades únicas de organizaciones específicas. Un ataque APT exitoso puede durar meses o incluso años.
Los grupos de APT a menudo obtienen acceso inicial a su red objetivo a través de la ingeniería social y el spear phishing. Gracias a la información recopilada de fuentes internas y externas a una organización, los atacantes APT crearán sofisticados correos electrónicos de spear phishing para convencer a los ejecutivos o altos cargos de que hagan clic en un enlace malicioso. Los atacantes también pueden perseguir otros puntos de entrada y superficies de ataque para penetrar en la red. Por ejemplo, pueden lanzar un ataque de día cero contra una vulnerabilidad sin parches en una aplicación web, o incrustar malware en un sitio web público que se sabe que los empleados visitan.
Después de la intrusión inicial, los grupos de APT explorarán y rastrearán la red para determinar los próximos mejores pasos para el movimiento lateral en toda la organización. Mediante la instalación de una serie de puertas traseras, que les permiten acceder a la red desde múltiples puntos de entrada, pueden seguir realizando reconocimientos e instalar malware oculto. También pueden intentar descifrar contraseñas y obtener derechos administrativos para proteger las áreas donde residen los datos confidenciales. Lo más importante es que los atacantes crearán una conexión con un servidor de comando y control externo para la administración remota de los sistemas pirateados.
Para prepararse para el primer caso de robo de datos, los grupos APT trasladarán la información que han recopilado a lo largo del tiempo a una ubicación centralizada y segura dentro de la red. También pueden cifrar y comprimir los datos para facilitar la exfiltración. Luego, para distraer al personal de seguridad y desviar recursos, pueden organizar un evento de “ruido blanco”, como un ataque de denegación de servicio distribuido (DDoS). En este punto, pueden transferir los datos robados a un servidor externo sin ser detectados.
Los grupos APT pueden permanecer dentro de una red vulnerada durante un período prolongado o indefinidamente, mientras esperan nuevas oportunidades para organizar un ataque. Durante este tiempo, pueden mantener su presencia oculta reescribiendo el código para ocultar el malware e instalando rootkits que proporcionan acceso a sistemas sensibles sin ser detectados. En algunos casos, pueden eliminar las pruebas del ataque y abandonar la red por completo después de haber logrado sus objetivos.
Mediante correos electrónicos de phishing de amplia difusión, correos electrónicos de spear phishing muy personalizados u otras tácticas de manipulación social, los grupos APT convencen a los usuarios para que hagan clic en enlaces maliciosos o revelen información que les permita acceder a sistemas protegidos.
Mediante la implementación de shellcode malicioso que escanea las redes en busca de vulnerabilidades de software sin parches, los grupos de APT pueden explotar las áreas de debilidad antes de que los administradores de TI puedan reaccionar.
Los grupos de APT pueden dirigirse a socios comerciales, tecnológicos o proveedores confiables de una organización para obtener acceso no autorizado a través de cadenas de suministro de software o hardware compartidas.
Con la capacidad de proporcionar acceso oculto y de puerta trasera a sistemas protegidos, los rootkits son una herramienta valiosa para ayudar a los grupos APT a ocultar y gestionar operaciones remotas.
Una vez que los grupos de APT se afianzan en una red vulnerada, establecen una conexión con sus propios servidores externos para gestionar de forma remota el ataque y exfiltrar datos confidenciales.
Los grupos APT pueden utilizar una variedad de otras herramientas para expandir y ocultar su presencia en una red, como gusanos, registros de teclas, bots, descifrado de contraseñas, software espía y ofuscación de códigos.
Conocido por sus correos electrónicos de spear phishing notablemente convincentes y bien investigados, Helix Kitten supuestamente opera bajo la supervisión del gobierno de Irán. El grupo se dirige principalmente a empresas de Oriente Medio en sectores como el aeroespacial, las telecomunicaciones, los servicios financieros, la energía, la química y la hostelería. Los analistas creen que estos ataques están destinados a beneficiar los intereses económicos, militares y políticos de Irán.
Wicked Panda es un conocido y prolífico grupo APT con sede en China, supuestamente vinculado al Ministerio de Seguridad del Estado y al Partido Comunista Chino. Además de realizar ciberespionaje, los miembros de este grupo también son conocidos por atacar a empresas para obtener beneficios económicos. Se cree que son responsables de piratear las cadenas de suministro sanitario, robar datos confidenciales de empresas de biotecnología y sustraer los pagos de la ayuda COVID-19 en Estados Unidos.
Stuxnet es un gusano informático que se utilizó para interrumpir el programa nuclear de Irán atacando los sistemas de supervisión, control y adquisición de datos (SCADA). Aunque ya no está activo, se consideraba una amenaza poderosamente eficaz cuando se descubrió en 2010, causando importantes daños a su objetivo. Los analistas creen que Stuxnet lo desarrollaron conjuntamente Estados Unidos e Israel, aunque ninguno de los dos países ha admitido abiertamente su responsabilidad.
Lazarus Group es un grupo APT con sede en Corea del Norte que se cree responsable del robo de cientos de millones de dólares en moneda virtual. Según el Departamento de Justicia de los Estados Unidos, los delitos forman parte de una estrategia para socavar la ciberseguridad mundial y generar ingresos para el gobierno norcoreano. En 2023, el FBI de los Estados Unidos acusó a Lazarus Group de robar 41 millones de dólares en moneda virtual de un casino en línea.
Dado que los ataques APT están diseñados para imitar las operaciones normales de la red, pueden ser difíciles de detectar. Los expertos recomiendan varias preguntas que los equipos de seguridad deben hacerse si sospechan que han sido atacados.
Los actores de amenazas APT apuntan a cuentas de usuarios de alto valor con acceso privilegiado a información confidencial. Estas cuentas pueden experimentar volúmenes inusualmente altos de inicios de sesión durante un ataque. Y, debido a que los grupos APT a menudo operan en diferentes zonas horarias, estos inicios de sesión pueden ocurrir a altas horas de la noche. Las organizaciones pueden utilizar herramientas como detección y respuesta de endpoints (EDR) o análisis de comportamiento de entidades y usuarios (UEBA) para analizar e identificar actividades inusuales o sospechosas en las cuentas de los usuarios.
La mayoría de los entornos de TI sufren troyanos de puerta trasera, pero durante un ataque de APT su presencia puede generalizarse. Los grupos de APT confían en los troyanos de puerta trasera como respaldo para volver a entrar en los sistemas comprometidos tras ser vulnerados.
Una desviación significativa de la línea base normal de la actividad de transferencia de datos puede sugerir un ataque APT. Esto podría incluir un aumento abrupto en las operaciones de bases de datos y la transferencia interna o externa de cantidades masivas de información. Las herramientas que monitorizan y analizan los registros de eventos de fuentes de datos, como la información de seguridad y la gestión de eventos (SIEM) o la detección y respuesta de red (NDR), pueden ser útiles para marcar estos incidentes.
Los grupos de APT suelen acumular grandes cantidades de datos de toda la red y trasladan esa información a una ubicación central antes de ser filtrados. Los paquetes grandes de datos en una ubicación extraña, especialmente si están en formato comprimido, pueden indicar un ataque de APT.
Los ataques de spear phishing dirigidos a un pequeño número de líderes de alto nivel son una táctica común entre los grupos de APT. Estos correos electrónicos a menudo contienen información confidencial y utilizan formatos de documentos como Microsoft Word o Adobe Acrobat PDF para iniciar software malicioso. Las herramientas de monitoreo de integridad de archivos (FIM) pueden ayudar a las organizaciones a detectar si los activos de TI cruciales han sido manipulados debido a malware incrustado en correos electrónicos de spear phishing.
Existen medidas de seguridad que las organizaciones pueden tomar para mitigar el riesgo de que los hackers de APT obtengan acceso no autorizado a sus sistemas. Dado que los grupos de APT adaptan continuamente nuevos métodos para cada vector de ataque, los expertos recomiendan un enfoque amplio que combine múltiples soluciones y estrategias de seguridad, que incluyen:
Obtenga información procesable que le ayudará a comprender cómo los actores de amenazas están llevando a cabo los ataques y cómo proteger de forma proactiva a su organización.
La gestión de amenazas es un proceso que utilizan los profesionales de la ciberseguridad para prevenir ciberataques, detectar ciberamenazas y responder a incidentes de seguridad.
Los actores de amenazas, también conocidos como actores de ciberamenazas o actores maliciosos, son individuos o grupos que causan daños intencionadamente a dispositivos o sistemas digitales.