Ataques estilo APT: silenciosos pero despiadados

Ataques estilo APT

En la actualidad existen dos grupos criminales dedicados al robo de información, ser trata de Metel, GCMAN y Carbanak, bandas delictivas digitales que han adoptado las técnicas de ataques estilo APT.

Similitudes entre ataques estilo APT y grupos criminales

  • Reconocimiento
  • Ingeniería social
  • Malware especializado
  • Herramientas de movimiento lateral
  • Persistencia a largo plazo

Todas estas acciones en conjunto son componentes críticos influyentes en la ejecución de ataques de múltiples etapas sobre un objetivo. Primero se hace un reconocimiento con la finalidad de hacer una perfecta planeación del ataque e identificar cómo personalizar el paso  de la ingeniería social.

En conjunto el reconocimiento y la ingeniería social ayudan a la identificación de detalles técnicos internos para ser usados en el ataque; el malware usado es personalizado para asegurar un ataque de clase APT  perfecto y lograr los objetivos del atacante.  Para evitar ser descubiertos, los criminales hacen pruebas del malware contra herramientas antimalware o controles de detección para probar si son del todo invisibles.

El movimiento lateral es usado para identificar sistemas capaces de controlar o almacenar datos sensibles que puedan ser monetizados en un futuro, la persistencia a largo plazo es usada para obtener beneficios económicos de los ataques estilo APT con el tiempo para no ser atrapados.

Por ejemplo, los criminales de Carbanak 2.0 utilizaron ingeniería social, sus ataques estilo  APT eran llevados a cabo por medio de un correo electrónico de pishing con archivos adjuntos para el punto de apoyo inicial de la red, luego mediante el monitoreo identificaron la ubicación de los datos sensibles de cada empresa logrando cambiar los detalles de propiedad de grandes empresas.

Otro de los ataques estilo APT fue contra Metel, el malware fue personalizado para deshacer transacciones de cajeros automáticos al hacer retiros durante el ataque.  Los cibercriminales de GCMAN usaron el movimiento lateral comenzando con un servidor web de cara al público comprometiendo hosts internos para persistencia a largo plazo antes de que regresaran a retirar el dinero.

Cómo actualizar programas de seguridad en las empresas

Los ataques APT no han cambiado mucho con el paso del tiempo, y el programa de seguridad de las empresas ya cuenta con controles predeterminados para protegerse de ciertos ataques estilo  APT que utilizan reconocimiento, ingeniería social, malware especializado, herramientas de movimiento lateral y persistencia de largo plazo.

Las empresas deben preocuparse por empezar a examinar minuciosamente un ataque para saber con exactitud si sus programas de seguridad son capaces de impedir el acceso. Si el control no resulta efectivo, las empresas tienen la obligación de realizar una evaluación de riesgos como mejorar el control y costo.

Segmentar la red es uno de los controles de seguridad más eficaces, utiliza conexiones por satélite, o algún otro implante para acceso a la red externa.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *