Fecha de publicación: 8 de abril de 2024
Colaboradores: Gregg Lindemulder, Amber Forrest
Las amenazas persistentes avanzadas (APT) son ciberataques no detectados diseñados para robar datos confidenciales, realizar ciberespionaje o sabotear sistemas críticos durante un largo periodo de tiempo. A diferencia de otras ciberamenazas como el ransomware, el objetivo de un grupo de ataque APT es pasar desapercibido a medida que se infiltra y expande su presencia a través de una red objetivo.
Los equipos de delincuentes cibernéticos patrocinados por el estado a menudo ejecutan ataques APT para acceder a la información confidencial de otros estados-nación o a la propiedad intelectual de grandes organizaciones. Aunque inicialmente pueden utilizar técnicas tradicionales de ingeniería social, estos actores de amenazas son conocidos por personalizar herramientas y métodos avanzados para explotar las vulnerabilidades únicas de organizaciones específicas. Un ataque APT exitoso puede durar meses o incluso años.
Los grupos de APT a menudo obtienen acceso inicial a su red objetivo a través de la ingeniería social y el phishing focalizado. Gracias a la información recopilada de fuentes internas y externas a una organización, los atacantes APT crearán sofisticados correos electrónicos de phishing focalizado para convencer a los ejecutivos o altos cargos de que hagan clic en un enlace malicioso. Los atacantes también pueden perseguir otros puntos de entrada y superficies de ataque para penetrar en la red. Por ejemplo, pueden lanzar un ataque de día cero contra una vulnerabilidad sin parches en una aplicación web, o incrustar malware en un sitio web público que se sabe que los empleados visitan.
Después de la intrusión inicial, los grupos de APT explorarán y rastrearán la red para determinar los próximos mejores pasos para el movimiento lateral en toda la organización. Mediante la instalación de una serie de puertas traseras, que les permiten acceder a la red desde múltiples puntos de entrada, pueden seguir realizando reconocimientos e instalar malware oculto. También pueden intentar descifrar contraseñas y obtener derechos administrativos para proteger las áreas donde residen los datos confidenciales. Lo más importante es que los atacantes crearán una conexión con un servidor de comando y control externo para la administración remota de los sistemas pirateados.
Para prepararse para el primer caso de robo de datos, los grupos APT trasladarán la información que han recopilado a lo largo del tiempo a una ubicación centralizada y segura dentro de la red. También pueden cifrar y comprimir los datos para facilitar la exfiltración. Luego, para distraer al personal de seguridad y desviar recursos, pueden organizar un evento de “ruido blanco”, como un ataque de denegación distribuida del servicio (DDoS). En este punto, pueden transferir los datos robados a un servidor externo sin ser detectados.
Los grupos APT pueden permanecer dentro de una red vulnerada durante un período prolongado o indefinidamente, mientras esperan nuevas oportunidades para organizar un ataque. Durante este tiempo, pueden mantener su presencia oculta reescribiendo el código para ocultar el malware e instalando rootkits que proporcionan acceso a sistemas sensibles sin ser detectados. En algunos casos, pueden eliminar las pruebas del ataque y abandonar la red por completo después de haber logrado sus objetivos.
Mediante correos electrónicos de phishing de amplia difusión, correos electrónicos de phishing focalizado muy personalizados u otras tácticas de manipulación social, los grupos APT convencen a los usuarios para que hagan clic en enlaces maliciosos o revelen información que les permita acceder a sistemas protegidos.
Mediante el despliegue de shellcode malicioso que escanea las redes en busca de vulnerabilidades de software sin parches, los grupos de APT pueden explotar las áreas de debilidad antes de que los administradores de TI puedan reaccionar.
Los grupos de APT pueden dirigirse a socios comerciales, tecnológicos o proveedores confiables de una organización para obtener acceso no autorizado a través de cadenas de suministro de software o hardware compartidas.
Con la capacidad de proporcionar acceso oculto y de puerta trasera a sistemas protegidos, los rootkits son una herramienta valiosa para ayudar a los grupos APT a ocultar y gestionar operaciones remotas.
Una vez que los grupos de APT se afianzan en una red vulnerada, establecen una conexión con sus propios servidores externos para gestionar de forma remota el ataque y exfiltrar datos confidenciales.
Los grupos APT pueden utilizar una variedad de otras herramientas para expandir y ocultar su presencia en una red, como gusanos, registros de teclas, bots, descifrado de contraseñas, software espía y ofuscación de códigos.
Conocido por sus correos electrónicos de phishing focalizado notablemente convincentes y bien investigados, Helix Kitten supuestamente opera bajo la supervisión del gobierno de Irán. El grupo se dirige principalmente a empresas de Oriente Medio en industrias como la aeroespacial, las telecomunicaciones, los servicios financieros, la energía, la química y la hostelería. Los analistas creen que estos ataques están destinados a beneficiar los intereses económicos, militares y políticos de Irán.
Wicked Panda es un conocido y prolífico grupo APT con sede en China, supuestamente vinculado al Ministerio de Seguridad del Estado y al Partido Comunista Chino. Además de realizar ciberespionaje, los miembros de este grupo también son conocidos por atacar a empresas para obtener beneficios económicos. Se cree que son responsables de piratear las cadenas de suministro sanitario, robar datos confidenciales de empresas de biotecnología y sustraer los pagos de la ayuda COVID-19 en Estados Unidos.
Stuxnet es un gusano informático que se utilizó para interrumpir el programa nuclear de Irán atacando los sistemas de supervisión, control y adquisición de datos (SCADA). Aunque ya no está activo, se consideraba una amenaza poderosamente eficaz cuando se descubrió en 2010, causando importantes daños a su objetivo. Los analistas creen que Stuxnet lo desarrollaron conjuntamente Estados Unidos e Israel, aunque ninguno de los dos países ha admitido abiertamente su responsabilidad.
Lazarus Group es un grupo APT con sede en Corea del Norte que se cree responsable del robo de cientos de millones de dólares en moneda virtual. Según el Departamento de Justicia de los Estados Unidos, los delitos forman parte de una estrategia para socavar la ciberseguridad mundial y generar ingresos para el gobierno norcoreano. En 2023, el FBI de los Estados Unidos acusó a Lazarus Group de robar 41 millones de dólares en moneda virtual de un casino en línea.
Dado que los ataques APT están diseñados para imitar las operaciones normales de la red, pueden ser difíciles de detectar. Los expertos recomiendan varias preguntas que los equipos de seguridad deben hacerse si sospechan que han sido atacados.
Los actores de amenazas APT se dirigen a cuentas de usuario de alto valor con acceso privilegiado a información confidencial. Estas cuentas pueden experimentar volúmenes inusualmente altos de inicio de sesión durante un ataque. Y debido a que los grupos APT a menudo operan en diferentes zonas horarias, estos registros pueden ocurrir tarde en la noche. Las organizaciones pueden usar herramientas como detección y respuesta de puntos finales (EDR) o análisis de comportamiento de usuarios y entidades (UEBA) para analizar e identificar actividades inusuales o sospechosas en las cuentas de los usuarios.
La mayoría de los entornos de TI experimentan troyanos de puerta trasera, pero durante un ataque APT su presencia puede generalizarse. Los grupos APT dependen de troyanos de puerta trasera como backup para reingresar a los sistemas comprometidos después de haber sido violados.
Una desviación significativa de la línea de base normal de la actividad de transferencia de datos puede sugerir un ataque APT. Esto podría incluir un aumento abrupto en las operaciones de bases de datos y la transferencia interna o externa de cantidades masivas de información. Las herramientas que monitorear y analizan los registros de eventos de fuentes de datos, como la información de seguridad y la administración de eventos (SIEM) o la detección y respuesta de red (NDR), pueden ser útiles para marcar estos incidentes.
Los grupos APT comúnmente acumulan grandes cantidades de datos a través de una red y mueven esa información a una ubicación central antes de la filtración. Grandes paquetes de datos en una ubicación extraña, especialmente si están en formato comprimido, pueden indicar un ataque APT.
Los ataques de phishing focalizado dirigidos a un pequeño número de líderes de alto nivel son una táctica habitual entre los grupos APT. Estos emails suelen contener información confidencial y emplean formatos de documentos como Microsoft Word o Adobe Acrobat PDF para lanzar programas maliciosos. Las herramientas de supervisión de la integridad de los archivos (FIM) pueden ayudar a las organizaciones a detectar si se manipularon activos informáticos críticos debido a malware incrustado en emails de phishing focalizado.
Existen medidas de seguridad que las organizaciones pueden tomar para mitigar el riesgo de que los piratas informáticos de APT obtengan acceso no autorizado a sus sistemas. Debido a que los grupos de APT adaptan continuamente nuevos métodos para cada vector de ataque, los expertos recomiendan un enfoque amplio que combine múltiples soluciones y estrategias de seguridad, que incluyen:
- Aplicación de parches de software para proteger las vulnerabilidades de la red y del sistema operativo contra las exploraciones de día cero.
- Monitoreo del tráfico de red en tiempo real para detectar actividades maliciosas como la instalación de puertas traseras o la exfiltración de datos robados.
- Usar cortafuegos de aplicaciones sitio web en puntos finales de red que filtren el tráfico entre las aplicaciones sitio web e Internet para evitar ataques entrantes.
- Implementar controles de acceso estrictos que impidan a los usuarios no autorizados acceder a sistemas y datos sensibles o de alto nivel.
- Realización de pruebas de penetración para identificar áreas de debilidad y vulnerabilidades que los grupos APT podrían explotar durante un ataque.
- Aprovechar la inteligencia de amenazas para comprender mejor el ciclo de vida de un ataque APT y planear una respuesta eficaz ante incidentes si parece que se está produciendo uno.
Obtenga insights procesables para ayudarlo a comprender cómo los actores de amenazas llevan a cabo los ataques y cómo proteger de manera proactiva a su organización.
La gestión de amenazas es un proceso que utilizan los profesionales de ciberseguridad para prevenir ataques cibernéticos, detectar amenazas cibernéticas y responder a incidentes de seguridad.
Los actores de amenazas, también conocidos como actores de ciberamenazas o actores malignos, son individuos o grupos intencionalmente malignos a dispositivos o sistemas digitales.