Ruslan Grumble - Fotolia

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Ataques estilo APT: Cómo los están usando los cibercriminales

Una nueva investigación muestra que los ciberdelincuentes están utilizando técnicas de ataque más avanzadas. Nick Lewis explica lo que las empresas necesitan saber sobre los ataques de tipo APT.

Las definiciones de los ciberataques avanzados y la ciberguerra son términos acaloradamente debatidos en seguridad de la información, y se utilizan con frecuencia en materiales de marketing. Los grupos de amenazas persistentes avanzadas o APT, una vez fueron equivalentes a los atacantes de estados-nación, pero el término ha comenzado a incluir otras bandas organizadas de cibercrimen que pasan por alto los controles de seguridad de empresas que se supone tienen alta seguridad, tales como instituciones financieras.

Con el tiempo, las técnicas avanzadas serán adoptadas por atacantes menos avanzados, lo que resultará en que las empresas implementen controles de seguridad para prevenir estos ataques. Los actores de amenazas avanzadas luego pueden desarrollar nuevas técnicas de ataque para eludir estos nuevos controles en el juego sin fin del gato y el ratón que persiste en seguridad de la información. Una nueva investigación de Kaspersky Lab en varias bandas de delincuencia cibernética detalla las técnicas de ataque de tipo APT avanzadas que se están adoptando de manera más amplia, contra las cuales las empresas tienen que dedicar más recursos para defenderse.

Este consejo echará un vistazo a los ataques de tipo APT reportados por Kaspersky Lab, y cómo las empresas pueden actualizar sus programas de seguridad.

Ataques de tipo APT

La persistencia a largo plazo se utiliza para obtener beneficios económicos de los ataques de tipo APT con el tiempo, para reducir potencialmente la posibilidad de que los atacantes sean atrapados.

Kaspersky informó que las bandas de delitos informáticos Metel, GCMAN y Carbanak están adoptando técnicas de ataque de estilo APT para delitos financieros. Kaspersky identificó los pasos que estos grupos están adoptando, como "reconocimiento, ingeniería social, malware especializado, herramientas de movimiento lateral y persistencia a largo plazo". Todos estos componentes son críticos en la ejecución de un ataque de múltiples etapas sobre un objetivo y se han utilizado ampliamente en ataques. Se hace primero el reconocimiento para planear el ataque e identificar cómo personalizar el paso de la ingeniería social para ser más eficaces. El reconocimiento y la ingeniería social también pueden ayudar a identificar los detalles más técnicos internos para su uso posterior en el ataque. El malware utilizado en el ataque puede ser personalizado por adelantado para asegurar que todas las piezas del ataque encajan entre sí para lograr los objetivos del atacante. El malware puede ser probado primero contra herramientas antimalware o controles de detección para ver si puede evitar la detección. El movimiento lateral se utiliza para identificar los sistemas que controlan las transacciones críticas o almacenar datos sensibles que pueden ser monetizados. La persistencia a largo plazo se utiliza para obtener beneficios económicos de los ataques tipo APT con el tiempo para reducir potencialmente la posibilidad de que los atacantes sean atrapados.

La banda Carbanak 2.0 utilizó ingeniería social, con un correo electrónico de phishing que incluyó un archivo adjunto para el punto de apoyo inicial en la red, y luego a través del monitoreo, identificó la ubicación de los datos sensibles y cambió los detalles de propiedad de una gran empresa. En el ataque Metel, el malware fue personalizado para deshacer transacciones de cajeros automáticos cuando hicieron un retiro de los cajeros automáticos durante el ataque. En el ataque GCMAN, los atacantes utilizaron el movimiento lateral, comenzando con un servidor web de cara al público y comprometiendo otros hosts internos para persistencia a largo plazo antes de que regresaran a retirar el dinero.

Cómo las empresas pueden actualizar sus programas de seguridad

Los pasos básicos utilizados en estos ataques APT no han cambiado con el tiempo, y el programa de seguridad de la información de una empresa probablemente ya tiene controles instalados para protegerse contra ciertos ataques de tipo APT que utilizan reconocimiento, ingeniería social, malware especializado, herramientas de movimiento lateral y persistencia de largo plazo. Las empresas deben examinar cada paso en un ataque para ver si sus controles de seguridad lo impedirían. Si el control no es efectivo, las empresas deben realizar una evaluación de riesgos para determinar porqué es ineficaz, cómo mejorar el control y el costo de mejorar el control. Hacer esto puede consumir muchos recursos, así que puede centrarse en los datos de incidentes internos o específicos de la industria para dar prioridad a los análisis de riesgos.

Potencialmente, el método más eficaz para detener los tres grupos de ataque de robar con éxito las instituciones financieras podría haber sido una fuerte segmentación de la red en los sistemas financieros, lo que habría abordado el aspecto de movimiento lateral de los ataques. La segmentación de la red es, probablemente, el control de seguridad más aburrido de la existencia, pero también uno de los más eficaces. Aparte de usar una conexión por satélite, inalámbrica o algún otro implante para acceso a la red externa, si un sistema no está conectado a la internet o a una red externa, es difícil mantener la persistencia. Para los segmentos de redes financieras que necesitan conectarse a otras partes de la red, como la mayoría, esas conexiones y sistemas deben estar configurados para un acceso mínimo necesario, y monitoreados de cerca por cualquier actividad anómala del sistema o del tráfico de red. Esto podría ser difícil en una red grande, con múltiples ubicaciones, pero puede ser la única manera de detectar algo que haya podido evitar los otros controles de seguridad.

Próximos pasos

No olvide revisar también:

La tecnología sola no sirve como defensa, dice Cisco

Revise su empresa con herramientas de monitoreo de seguridad de red

Los CIO admiten que están ciegos a las ciberamenazas a pesar del gasto en seguridad

Investigue más sobre Gestión de la seguridad de la información

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

Close