Estos son los principales ataques que reciben las pymes de los grupos de APT
- Actualidad
Un informe de Proofpoint concluye que los grupos de delincuentes especializados en amenazas persistentes avanzadas (APT) centran más sus objetivos de ataque hacia las pymes. Sus infraestructuras se ven comprometidas principalmente por campañas de phishing, ataques selectivos que persiguen objetivos financieros o comprometer su cadena de suministro.
La firma de ciberseguridad ha publicado una nueva investigación que desvela que las pymes de todo el mundo están cada vez más en el punto de mira de los grupos APT.
Tras analizar los datos de más de 200.000 pequeñas y medianas organizaciones durante un año, han identificado a varios de estos grupos que se dirigen específicamente a ellas, incluyendo algunos alineados con los intereses de los gobiernos ruso, iraní y norcoreano.
Los grupos de APT llevan a cabo campañas de phishing selectivo mucho más sofisticadas que los típicos ataques basados en el compromiso de cuentas para la distribución de malware básico. Estos ciberdelincuentes suelen estar financiados por un gobierno o entidad para conseguir un objetivo estratégico concreto mediante el espionaje, el robo de datos o una campaña de desinformación. Sin embargo, pese a contar con tantos recursos y utilizar técnicas avanzadas, estos ciberdelincuentes están muy interesados en dirigirse a empresas pequeñas e infraprotegidas, ya que son un objetivo más sencillo.
Compromiso de infraestructuras de pymes para campañas de phishing
Durante el último año, se ha producido un aumento en los casos de suplantación de identidad o de compromiso de dominios pertenecientes a pymes. Estos ataques pueden haberse logrado mediante la recopilación de credenciales o, en el caso de un servidor web, mediante la explotación de una vulnerabilidad no parcheada. Una vez conseguido, la dirección de correo electrónico se utiliza para enviar mensajes maliciosos a otros objetivos. En el caso de comprometer un servidor web que aloja un dominio, el ciberdelincuente abusa de esa infraestructura legítima para alojar o entregar malware.
Un ejemplo destacado es el grupo de ciberdelincuentes TA473, también conocido como Winter Vivern, que comprometió los dominios de un fabricante de ropa artesanal con sede en Nepal y de un ortopedista estadounidense con el objetivo de entregar malware a través de campañas de phishing. Otros casos relevantes han sido la suplantación de una empresa mediana de fabricación de automóviles en Arabia Saudí atribuida al grupo TA422, también llamado APT28, y la suplantación de una empresa de representación de famosos de Estados Unidos por parte de TA499, conocido como Vovan y Lexus.
Ataques selectivos con objetivos financieros
Las amenazas observadas dirigidas a pymes del sector financiero suelen estar alineadas con los intereses de los gobiernos de Rusia, Irán o Corea del Norte. En los últimos años, se ha atacado a organizaciones de finanzas descentralizadas y tecnología blockchain para conseguir fondos con los que financiar diferentes operaciones gubernamentales.
En diciembre de 2022, Proofpoint observó que un banco digital estadounidense de tamaño mediano recibió una campaña de phishing del grupo TA444, alineado con el gobierno de Corea del Norte. En sus correos se hacían pasar por ABF Capital incluyendo una URL maliciosa que conducía a la entrega del malware CageyChameleon.
Ataques APT a la cadena de suministro
La última tendencia emergente observada entre 2022 y 2023 es el aumento de ataques a proveedores regionales de servicios gestionados (MSP) como medio para iniciar ataques a la cadena de suministro. Los MSP suelen proteger a cientos de pymes de su zona geográfica, y muchas de ellas tienen herramientas de ciberseguridad limitadas o no profesionales. Por esto, los ciberdelincuentes han visto una oportunidad en la vulnerabilidad de estas empresas para obtener acceso a los entornos de usuario final que les interesan. Proofpoint ha detectado este tipo de ataques dentro de zonas geográficas que se alinean con los intereses de recopilación estratégica de información de los países mencionados.
Por ejemplo, a mediados de enero de este año, los investigadores de Proofpoint observaron que el grupo TA450, conocido como Muddywater y atribuido al Ministerio de Inteligencia y Seguridad de Irán, se dirigía a dos MSP israelíes a través de una campaña de phishing en la que se hacían pasar por una empresa de servicios financieros.
Por tanto, ante un panorama de las APT cada vez más complejo, Proofpoint aconseja que inviertan esfuerzo y recursos, tanto en tecnología para protegerse como en un programa de formación y concienciación en ciberseguridad para sus empleados.
