Las Amenazas Avanzadas Persistentes (APT) hacen referencia a una categoría de amenazas que actúa de forma agresiva y sigilosa sobre objetivos muy concretos para mantener una presencia constante dentro de las redes de las víctimas. Estos espías electrónicos tienen la capacidad de moverse lateralmente dentro de la organización y son capaces de extraer datos con gran facilidad.
Las APT son ataques normalmente dirigidos contra compañías y sus recursos, o contra organismos gubernamentales. Por lo general, un ataque de ingeniería social llevado a cabo sobre un empleado de una empresa desencadena una serie de actividades que deja expuesta a la compañía a un riesgo serio.
El equipo de Trend Micro compartió una infografía para que los usuarios puedan comprender cómo funcionan este tipo de ataques, además de conocer los mitos que rodean a tan peligrosas amenazas que, a día de hoy, representan uno de los mayores retos a combatir.
Las 6 fases de una APT:
1.- Recopilación de información: se trata de adquirir información estratégica sobre el entorno de TI objetivo y la estructura de la organización. El 31% de los empleadores plantea acciones disciplinarias ante los empleados que publiquen información confidencial en páginas de redes sociales.
2.- Punto de entrada: las APT buscan lograr entrar en la red a través del correo electrónico, mensajería instantánea, redes sociales o explotando software. En un experimento realizado, el 87% de las organizaciones accedió a un link relacionado con un señuelo de ingeniería social.
3.- Servidor de mando y control (C&C, por sus siglas en inglés): asegurar la comunicación continua entre el host comprometido y el servidor C&C. El 70% de las redes empresariales están infectadas por malware.
4.- Movimiento lateral: localizan los hosts que alojan información sensible dentro de la red objetivo. La campaña LURID comprometió a un total de 1,465 equipos informáticos en 61 países. Por su parte, la campaña GhostNet implicó a 2,000 equipos en 103 países.
5.- Descubrir activos y datos: identificar los datos valiosos para aislarlos con el fin de proceder a futuras sustracciones de información. Los secretos empresariales comprometen dos tercios de los portafolios de información de las compañías, aunque sólo la mitad de sus presupuestos de seguridad están dedicados a protegerlos.
6.- Extracción de datos: en esta etapa se procede a transmitir la información a un lugar controlado por los responsables de las amenazas. RSA invirtió $66 millones de dólares en deshacer el daño producido al sustraerse datos de su red.
Mitos de las APT
“Sólo las APT provocan brechas de datos” – Las brechas de datos son el resultado de diferentes tipos de ataques en una organización. Algunas brechas de datos están provocadas por algún tipo de negligencia o por personas malintencionadas maliciosas que pertenecen al entorno de la organización.
“Las APT son incidentes aislados” – Las APT están consideradas como campañas y no como acciones aisladas. Las APTs utilizan múltiples métodos e intentos repetidos para lograr sus objetivos.
“Las APT están diseñadas para extraer información o archivos predeterminados” – Mientras los atacantes conocen la clase de información que desean robar, necesitan actuar con sigilo y realizar movimientos laterales para sustraer los archivos específicos que necesitan.
“El dinero es la única motivación que hay detrás de las campañas APT” – Las ganancias financieras no son la única prioridad para los atacantes. Las campañas APTs están dirigidas contra organizaciones por motivos de ciber-espionaje, sabotaje o, directamente contra el valor financiero de los datos robados.
“Las soluciones de seguridad estándar protegen de forma automática contra las APT” – Actualmente no existe ningún remedio infalible, pero utilizando estrategias de detección especializada para monitorear las redes es posible reducir de forma significativa el riesgo.