Explicación de las amenazas persistentes avanzadas (APT)

¿Qué es una amenaza persistente avanzada?

Las amenazas persistentes avanzadas (APT) son ciberataques sofisticados y duraderos en los que un intruso establece una presencia no detectada en una red para robar datos confidenciales durante un tiempo prolongado. Este tipo de ataque se planifica y diseña cuidadosamente para infiltrarse en una organización específica, evadir las medidas de seguridad existentes y pasar desapercibido.

Perpetrar este tipo de ataques requiere un mayor grado de personalización y sofisticación que los ataques tradicionales. Los adversarios que los llevan a cabo suelen ser grupos de ciberdelincuentes con fondos y amplia experiencia que atacan organizaciones de gran valor. Además, han invertido una gran cantidad de tiempo y recursos en buscar y detectar las vulnerabilidades de la organización.

Los objetivos de los APT se clasifican en cuatro categorías generales:

• Ciberespionaje (incluido el robo de propiedad intelectual o secretos de Estado)
• Ciberdelincuencia con fines lucrativos
• Hacktivismo
• Destrucción

¿Cuáles son las tres fases de un ataque de APT?

Para prevenir, detectar y resolver APT, debes reconocer sus características. La mayoría de las APT siguen el mismo proceso: se infiltran en una red, amplían el acceso y cumplen el objetivo del ataque, que, habitualmente, consiste en robar datos extrayéndolos de la red.

Fase 1: infiltración

En esta primera fase, las amenazas persistentes avanzadas suelen obtener acceso mediante técnicas de ingeniería social. Una indicación de la presencia de una APT es un correo electrónico de phishing que ataca de manera selectiva a víctimas de gran valor, como ejecutivos sénior o responsables de tecnología, a menudo utilizando información obtenida a través de otros miembros del equipo ya comprometidos. Los ataques a través del correo electrónico dirigidos a víctimas específicas se denominan "phishing selectivo".

El correo electrónico puede parecer provenir de un miembro del equipo e incluir referencias a un proyecto en curso. Si varios directivos han sido víctimas de un ataque de phishing selectivo, es momento de empezar a buscar otros signos de una APT.

Fase 2: escalado y movimiento lateral

Una vez que han obtenido acceso, los ciberdelincuentes insertan malware en la red de una organización para pasar a la segunda fase: la expansión. Se mueven lateralmente para mapear la red y recopilar credenciales, como nombres y contraseñas de cuentas para acceder a información comercial crítica.

También pueden establecer una "puerta trasera": un esquema que les permite acceder a la red en otro momento para realizar operaciones encubiertas. A menudo se establecen una serie de puntos de entrada adicionales para garantizar la continuidad del ataque si alguno se descubre y cierra.

Fase 3: exfiltración

A modo de preparación para la tercera fase, los ciberdelincuentes suelen almacenar información robada en una ubicación segura de la red hasta que recopilan suficientes datos. A continuación, los extraen o "exfiltran" sin ser detectados. Pueden recurrir a tácticas como los ataques de denegación de servicio (DoS) para distraer al equipo de seguridad y mantener ocupado al personal de la red mientras exfiltran los datos. La red permanecerá comprometida hasta que los atacantes decidan volver a acceder cuando lo deseen.

Características de los ataques de APT

Dado que las amenazas persistentes avanzadas utilizan técnicas diferentes a las de los hackers comunes, dejan otro tipo de señales. Además del phishing selectivo dirigido a líderes de organizaciones, algunos indicadores de los ataques de amenazas persistentes avanzadas son:

• Actividad inusual en cuentas de usuario, como un aumento de los inicios de sesión en cuentas de altos cargos a altas horas de la noche
• Presencia generalizada de troyanos de puerta trasera
• Paquetes de datos inusuales o inesperados, que pueden indicar que se han recopilado datos como preparación para una exfiltración
• Flujos de información inesperados, como anomalías en datos salientes o un aumento repentino e inusual de las actividades en las bases de datos que involucran grandes cantidades de datos

Ejemplos de amenazas persistentes avanzadas

Actualmente, CrowdStrike rastrea a más de 150 adversarios en todo el mundo, incluidos atacantes patrocinados por Estados, ciberdelincuentes y hacktivistas.

A continuación, presentamos una serie de ejemplos destacados de APT detectadas por CrowdStrike:

• GOBLIN PANDA (APT27) fue detectada por primera vez en septiembre de 2013, cuando CrowdStrike descubrió indicadores de ataque (IOA) en la red de una empresa de tecnología que opera en diferentes sectores. Este adversario con sede en China utiliza dos documentos exploit de Microsoft Word relacionados con formaciones para introducir archivos maliciosos al abrirlos. Lee nuestro perfil de APT completo sobre Goblin Panda.
• FANCY BEAR (APT28), un ciberdelincuente con sede en Rusia, utiliza mensajes de phishing y sitios web falsos muy similares a los legítimos para obtener acceso a ordenadores y dispositivos móviles convencionales. Lee nuestro perfil de APT completo sobre Fancy Bear.
• Cozy Bear (APT29) es un adversario de origen ruso que se rumorea que actúa en nombre del Servicio de Inteligencia Exterior de la Federación Rusa. Se ha detectado que este adversario utiliza campañas de phishing selectivo masivas para distribuir una amplia gama de tipos de malware para atacar a entidades políticas, científicas y nacionales de diferentes sectores. Lee nuestro perfil de APT completo sobre Cozy Bear.
• Ocean Buffalo (APT32) es un adversario de intrusión selectiva con sede en Vietnam que se rumorea que lleva activo desde, como mínimo, 2012. Es conocido por emplear diferentes tácticas, técnicas y procedimientos (TTP) que incluyen el uso de herramientas personalizadas y listas para usar, así como la distribución de malware a través de operaciones de compromiso de sitios web estratégicos (SWC) y correos electrónicos de phishing selectivo con archivos adjuntos maliciosos.
• HELIX KITTEN (APT34) lleva activo desde, por lo menos, finales de 2015 y se rumorea que su sede está en Irán. Ataca a organizaciones de los sectores aeroespacial, energético, financiero, gubernamental, hotelero y de telecomunicaciones, y utiliza mensajes de phishing selectivo bien estructurados y documentados muy relevantes para las víctimas. Lee el perfil de APT completo sobre HELIX KITTEN.
• Wicked Panda (APT41) este adversario, con sede en China, lleva siendo uno de los más activos y efectivos desde la década de 2010. CrowdStrike Intelligence estima que Wicked Panda consiste en un gran conjunto de grupos formado por diferentes contratistas que operan en interés del Estado chino y que realizan actividades delictivas con ánimo de lucro, posiblemente gracias a la aprobación tácita de los funcionarios del PCCh. Lee el perfil de APT completo sobre WICKED PANDA.

¿Cómo protegerse de los ataques de APT?

Existen muchas soluciones de ciberseguridad e inteligencia disponibles que ayudan a las organizaciones a protegerse mejor de los ataques de APT. A continuación, te presentamos algunas de las mejores prácticas:

• Cobertura del sensor. Las organizaciones deben implementar capacidades que proporcionen a sus defensores una visibilidad completa de todo su entorno para evitar ángulos muertos que puedan convertirse en un refugio seguro para las ciberamenazas.
• Inteligencia técnica. Aprovecha la inteligencia técnica, como los indicadores de compromiso (IOC), y utilízala en un administrador de eventos e información de seguridad (SIEM) con fines de enriquecimiento de datos. Esto posibilita una mayor inteligencia al realizar la correlación de eventos, lo que resalta potenciales eventos en la red que, de otro modo, podrían pasar desapercibidos.
• Proveedor de servicios. Asociarse con una empresa de ciberseguridad líder del sector no es una opción, es una necesidad. Si se produjese un incidente, las organizaciones necesitarían ayuda para responder a una ciberamenaza sofisticada.
• Un firewall de aplicaciones web (WAF) es un dispositivo de seguridad diseñado para proteger las aplicaciones de las organizaciones mediante el filtrado, la monitorización y el análisis del tráfico del protocolo de transferencia de hipertexto (HTTP) y del protocolo seguro de transferencia de hipertexto (HTTPS) entre la aplicación web e Internet.
• Inteligencia de amenazas. La inteligencia sobre amenazas contribuye a la creación de perfiles de atacantes, además de al seguimiento de campañas y familias de malware. Hoy en día, es más importante comprender el contexto de un ataque que simplemente saber si el ataque en sí ocurrió; en este punto es donde juega un papel vital la inteligencia sobre amenazas.
• Threat Hunting. Muchas organizaciones necesitarán equipos humanos y soluciones de Threat Hunting gestionados y constantes que se combinen con su tecnología de ciberseguridad actual.

Protección frente a amenazas avanzadas de CrowdStrike: la importancia de actuar rápidamente

Actualmente, la rapidez es el factor más importante en lo que respecta a ciberseguridad. La clave para defenderse es ser más rápidos que los adversarios. En CrowdStrike, utilizamos el tiempo de propagación para evaluar el grado de sofisticación operativa de los atacantes y estimar la rapidez a la que es necesario responder ante sus ataques.

El tiempo de propagación es el tiempo que tarda un intruso en empezar a moverse lateralmente por la red tras obtener acceso a ella. Es una métrica fundamental para determinar la rapidez con la que operan los adversarios y para evaluar los tiempos de respuesta y detección de los equipos de seguridad.

La función de detección y respuesta para endpoints de Falcon Insight (EDR), otro elemento clave de la plataforma Falcon,  busca IOA para detener los ataques antes de que se pierdan datos. La solución Inteligencia sobre el adversario de CrowdStrike facilita las investigaciones de incidentes y acelera la respuesta ante brechas al integrar perfectamente la inteligencia sobre amenazas automática y los indicadores personalizados en las soluciones de protección de endpoints. En combinación con la experiencia del equipo global de CrowdStrike Falcon® Intelligence™, la plataforma Falcon permite a las organizaciones de todos los tamaños responder más rápidamente y anticiparse al siguiente ataque de APT.